Kritische Sicherheitslücke in Webmail-Software (Roundcube)

Nach einem Update der Webmail Software Roundcube wurden versehentlich Verzeichnisse auf dem System öffentlich zugänglich, in denen Log-Daten sowie temporär gespeicherte Daten gespeichert werden. Konkret waren Anhänge ausgehender E-Mails und Vorschaubilder eingehender E-Mail-Anhänge sowie E-Mail-Übermittlungsdaten (Benutzername, Absender, Empfänger, MessageID, Uhrzeit und IP-Adresse) einsehbar.

Inhalt und Betreffzeile von Mails waren nie öffentlich zugänglich. Eine Übernahme von Postfächern durch potenzielle Angreifer war auf Grund des vorgelagerten Authentifizierungsmechanismus (Single-Sign-On per Shibboleth)zu keiner Zeit möglich. Auch war zu keiner Zeit eine Komplettübernahme des betroffenen Servers möglich.

Die symbolischen Links, die auf die betroffenen Ordner zeigten, wurden gelöscht und sind jetzt nicht mehr öffentlich einsehbar. Die symbolischen Links wurden bei Einspielen eines Updates versehentlich erzeugt. Um das in der Zukunft zu verhindern, werden diese symbolischen Links beim Einspielen von Updates (Deployment) gelöscht, wenn sie existieren. Die Skripte dazu sind bereits aktiv. Zusätzlich werden die Zugriffsrechte der betroffenen Dateien und Verzeichnisse per Konfiguration eingeschränkt, sollten diese erneut manuell angelegt werden.

Die Lücke wurde innerhalb einer Stunde nach Eingang des Hinweises am 8.1.2023 um 12 Uhr geschlossen.

Da der Zeitpunkt des Auftretens des Problems ist nicht klar nachvollziehbar ist, müssen wir vom größtmöglichen Zeitraum ausgehen. Somit kann nicht ausgeschlossen werden, dass das Problem seit dem 25.9.2020 vorlag.
Auf konkrete Daten wurde zwischen dem 21.10.2022 und dem 08.1.2023 durch den Sicherheitsforscher zugegriffen. Die an der Recherche beteiligte Journalistin sagte zu, dass die während der Recherche heruntergeladenen personenbezogenen Daten sicher vernichtet wurden.
Es liegen keine Anzeichen dafür vor, dass die Lücke außerhalb dieses Zeitrahmens von Angreifern ausgenutzt wurde.

Der Vorfall wurde am 10.01.2023 innerhalb der vorgeschriebenen 72-Stunden-Frist nach Art. 33 DS-GVO, bzw. § 54 LDSG an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz gemeldet.

Die Hochschule Trier nimmt Hinweise, die zur Verbesserung der Informationssicherheit beitragen sehr ernst und bedankt sich an dieser Stelle für die wichtige Recherche und den Hinweis auf die Lücke bei
Eva Wolfangel (https://chaos.social/@evawolfangel/) und René Rehme.