Blog

Aktualizacja Roundcube

Mamy dobrą wiadomość dla wszystkich, którzy czekali na nową odsłonę popularnego webmaila – roundcube 🙂

Po ostatniej aktualizacji pojawił się nowy szablon – elastic. Naszym zdaniem jest bardzo ciekawy, przejrzysty i lekki.

Przy okazji chcemy zwrócić szczególną uwagę na sposób logowania się do poczty poprzez webmail.

Dochodzą do nas informacje o problemach z pocztą logując się na stronie roundcube.pl

UWAGA! To nie jest strona naszej firmy ani nie jest w żaden sposób powiązana z naszymi serwerami. Nie jest to również oficjalna domena twórców tego webmaila. Logowanie się poprzez tą stronę może być niebezpieczne!

Wszyscy użytkownicy hostingu dedykowanego logują się w następujący sposób:

https://hd-nnn.stpl.net.pl/roundcube

Jeśli domena jest przypięta do naszego serwera należy zalogować się również w ten sposób:

mojastrona.pl/roundcube

Jeśli zdarzyło Ci się kiedyś zalogować na ww. stronę zalecamy zmianę hasła do skrzynki pocztowej.

Nasuwać się może pytanie: to dlaczego mogę się zalogować swoimi danymi, skoro to nie wasza strona??

Już odpowiadamy: Roundcube to webmail, który łączy się do serwera przez protokół imap. Klient podaje login i hasło a webmail wykonuje połączenie do naszego serwera poczty i autoryzuje podanymi przez użytkownika loginem i hasłem.

Popularne wtyczki WordPressa mają luki związane z omijaniem haseł. Aktualizuj teraz!

Badacze odkryli luki w hasłach omijające dwie wtyczki WordPressa. Wydawcą wtyczek jest firma Revmakx.

Pierwszą z nich jest InfiniteWP Client, narzędzie pozwalające administratorom na zarządzanie wieloma stronami WordPressa z jednego interfejsu.

Druga to WP Time Capsule, narzędzie do tworzenia kopii zapasowych i inscenizacji witryn.

Pilną kwestią jest liczba witryn korzystających z tych narzędzi – od 300 000 do 500 000 w przypadku InfiniteWP oraz 20 000 lub więcej w przypadku WP Time Capsule – więc jeśli masz którąś z tych wtyczek, załataj ją jak najszybciej.

Według firmy badającej bezpieczeństwo WebARX, która zgłosiła luki
7 stycznia 2020 r., oba błędy umożliwiają napastnikom logowanie się do kont admin bez hasła.

Luka „Bypass InfiniteWP” został znaleziony w funkcji iwp_mmb_set_request, służącej do sprawdzenia, czy użytkownik próbuje wykonać autoryzowaną akcję.

Dwie akcje, które to robią to readd_site i add_site, ale żadna z nich nie implementuje sprawdzania autoryzacji, co oznacza, że atakujący może wykonać złośliwe żądanie:

Wszystko, co musimy wiedzieć, to nazwa użytkownika administratora na stronie. Po wysłaniu żądania, zostaniesz automatycznie zalogowany jako użytkownik.

Jeszcze prostszy błąd logiczny w WP Time Capsule daje podobny rezultat – tym razem wystarczy wpisać ciąg tekstowy IWP_JSON_PREFIX we wniosku przesłanym do skryptu WordPress.