CVE-2021-28994: Kopano ical service

March 29, 2021

Von
Kategorien: Featured, News
problem solving

Wir wurden kürzlich auf ein Problem im Kopano ical-Dienst aufmerksam gemacht, der unter CVE-2021-28994 dokumentiert wurde. Dieser Dienst kann, wenn er (direkt) dem Internet ausgesetzt ist, durch das Senden einer speziell gestalteten Anfrage zum Absturz gebracht werden, was zu einem Denial of Service führt.

Wer ist betroffen?

Die Kopano ical Software ist sicherlich nicht zwingend erforderlich, aber sie ist Teil einer Standard Kopano Groupware Installation: Wenn Sie die Software mit dem Meta-Paket ‘kopano-server-packages’ installieren, haben Sie sie installiert. Viele Systemadministratoren haben den Dienst aktiviert. Das Problem besteht in allen Versionen von Kopano ical und sogar in der Zarafa ical Software (Versionen 6.30 und neuer).

Die Kopano ical Software ist nicht in Kopano One enthalten – ical ist als Protokoll verfügbar, wird aber von Kopano KDav bereitgestellt, das in zukünftigen Versionen von Kopano Groupware ebenfalls kopano-ical ersetzen soll.

Sie sind von diesem Problem nicht betroffen, wenn:

* Sie Kopano One verwenden
* Sie kopano-ical nicht verwenden (überprüfen Sie, ob es mit `ps aux | grep ical` läuft)
* Sie kopano-ical über einen Reverse-Proxy laufen lassen, der HTTP-Header säubert

Wie kann das Problem entschärft werden?

Das Kopano-Entwicklungsteam arbeitet an einem Fix für dieses Problem, der in die Software-Versionen 8.7.x, 9.x und neuer integriert und verfügbar gemacht wird. Sie wird derzeit getestet und für die Freigabe vorbereitet.

Als Workaround, aber generell als gute Praxis, können Sie den kopano-ical-Dienst hinter einem Reverse-Proxy laufen lassen. Dies kann ein Webserver Ihrer Wahl sein. Untenstehende Beispiele können für Nginx und Apache verwendet werden:

Nginx
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://127.0.0.1:8080;
}

Apache
<VirtualHost *:8080>
ProxyPreserveHost On
ProxyPass / http://127.0.0.1:8080/
ProxyPassReverse / http://127.0.0.1:8080/
ServerName example.com
</VirtualHost>

Kweb
YOUR_PUBLIC_IP:8080 {
proxy / 127.0.0.1:8080 {
transparent
}
}

Wie wird es in der Software gelöst?

Das Kopano-Entwicklungsteam arbeitet an einer Lösung für das Problem, die derzeit getestet und für die Freigabe vorbereitet wird. Außerdem wurde die Standardkonfiguration für den kopano-ical-Dienst so angepasst, dass er nicht mehr standardmäßig auf allen öffentlichen Schnittstellen lauscht – dies ist in Kopano Groupware Versionen neuer als 8.7.19 wirksam. Wenn Sie den kopano-ical-Dienst dem Internet aussetzen möchten, ist es empfehlenswert, einen Reverse-Proxy wie oben beschrieben zu verwenden.

Wie bereits in Kopano One wird kopano-ical in zukünftigen Versionen von Kopano Groupware durch Kopano KDav ersetzt.

***********************************************************************

Wir sind bestrebt, unsere Software ständig zu verbessern. Sollte Ihnen ein Problem auffallen, zögern Sie bitte nicht, uns zu kontaktieren.