Informationen zum Problem
In den nächsten 24 Stunden wird es eine neue Version des Kopano Core geben, die eine Lösung für zwei Sicherheitslücken enthält. Diese Aktualisierung erfordert besondere Aufmerksamkeit, da es kein gewöhnliches Update ist und unter Umständen zusätzliche Schritte notwendig werden, damit das Upgrade durchgeführt und Ihr System von einer früheren Version auf diese neue Version aktualisiert werden kann.
Berichten eines Kopano Kunden zufolge wurde sein System nach einem der letzten Updates immer langsamer. Bei der Untersuchung dieser Installation stellten die Kopano Entwickler fest, dass das Problem durch eine ungewöhnlich große Zahl von Elementen in einer der Datenbanktabellen (der ’names‘ Tabelle) verursacht wurde.
Weitere Untersuchungen haben ergeben, dass dies eine Sicherheitslücke darstellt, die in einigen Fällen das geringe Risiko birgt, Schaden oder Datenverlust an der Kopano Server-Datenbank zu verursachen. Die Schwachstellen konnten in allen früheren Versionen, zurück bis Kopano Core 8.0 und davor (vor Kopano) identifiziert werden.
Abgesehen von der Behebung des Problems führte die Entdeckung auch zur Registrierung von zwei CVE-Nummern. Die Sicherheitslücken wurden als CVE-2018-8950 und CVE-20188951 geführt. Bitte beachten Sie, dass diese Sicherheitslücken noch nicht veröffentlicht wurden. Nach der Veröffentlichung der korrigierten Version wird es dazu kommen.
Einspielen der Kopano Sicherheitsupdates
Die Kopano Sicherheitsupdates beheben das Problem im Code, erfordert jedoch auch eine Änderung des Datenbankschemas. In einigen Fällen kann dieses Datenbankschema nicht automatisch angewendet werden, da der Kopano Server unerwartete Einträge in der names-Tabelle gefunden hat. Dies muss mit dem neuen Dienstprogramm kopano-dbadm behoben werden, das speziell zur Behebung dieses Problems entwickelt wurde. Kopano empfiehlt Ihnen dringend, einen Dump der Datenbank (sqldump) zu erstellen, bevor Sie das Update anwenden.
Da die Überprüfung mit kopano-dbadm in größeren Umgebungen etwas dauern kann, können Sie das Schema-Upgrade auch „ignorieren“, indem Sie den Kopano Server mit einem spezielle Startparameter starten. Bitte planen Sie die Ausführung des Tools so bald wie möglich ein, um das Problem so schnell wie möglich zu beheben.
Update: Kopano Blogartikel
Die neuen Pakete wurden veröffentlicht und sind wie gewohnt über die Download Server und das Kopano Portal verfügbar. Weitere Informationen zu den Release- und Upgrade-Schritten finden Sie im zwischenzeitlich veröffentlichten Kopano Blogbeitrag. Im Blog finden Sie außerdem Anleitungen und Verweise auf Artikel in der Wissensdatenbank, die Sie durch die von uns empfohlenen Überprüfungen vor der Installation des Updates führen, sowie Schritte, die nach der Aktualisierung durchgeführt werden sollten (sofern Sie von dem Problem betroffen sind).
Sie haben Fragen dazu? Rufen Sie uns an unter 0931/250993-10 oder schreiben Sie uns eine E-Mail an .