Open Source im professionellen Einsatz

Schneller als Apple und Microsoft: Z-Push behebt Meeting-Hijacking-Bug in Active Sync

22.10.2012

Z-Push, Zarafas Open-Source-Implementierung von Microsofts Active-Sync-Protokoll, hat einen kritischen Bug gefixt, der im Zusammenspiel zwischen Apple-Mobilgeräten und einem Exchange-Server dazu führen konnte, dass Unberechtigte Teilnehmer ganze Meetings absagen konnten.

440

Als "Meeting Hijacking Bug" bekannt geworden, datiert der Bug wohl weiter zurück als i-OS 5 und Microsoft Exchange 2007, schreiben Blogs. Dabei konnte es passieren, dass schon eine Absage durch einen Teilnehmer dazu führte, dass der Groupware-Server den gesamten Termin absagte. Weil dafür normalerweise nur der Administrator oder Organisator eines Termins Befugnisse hat, benannten Experten dieses Verhalten "Hijacking", also die Entführung oder Übernahme des Events.

Exchange: Wird schon passen, aber iOS macht's falsch

Der Kern des Fehlers liegt wohl in einer fehlerhaften Implementierung von Active Sync auf Apples Geräten, wo Clients offenbar annehmen, sie hätten volle Gewalt über einen Termin, obwohl sie nicht dem Exchange-Account, der auf dem Smartphone oder Tablet angemeldet ist, "gehören".

Dazu kommt aber die Überraschung, dass Exchange offensichtlich einem Client einfach so vertraut, und keinen Rechte-Check mehr durchführt. In den meisten Fällen führt das direkt zur Absage des kompletten Events - inklusive der informativen, aber unerwünschten Mails an alle anderen Teilnehmer. Gerade in Unternehmen mit größeren Teams sorgte das in letzter Zeit für Verwirrung und Organisationsprobleme - und zwar schon seit iOS 4.3 und Exchange 2007.

Niemand ist zuständig - ein Open-Source-Projekt springt ein

Nachdem sich bisher keiner der beiden proprietären Hersteller verantwortlich fühlte, den Bug zu fixen (Details bietet das Blog von Michael Rose, etwas weiter unten unter der Überschrift "Now for the dirty laundry..."), und nur eher hässliche Workarounds existierten, hat jetzt ein Open-Source-Projekt die Initiative ergriffen und eine Lösung präsentiert. Z-Push, die vom OSS-Groupwarehersteller Zarafa initiierte freie Active-Sync-Implementierung präsentiert einen Fix, den die Entwickler auch gleich in Updates ihrer Implementierung aufgenommen haben.

Weil das Problem zwei Seiten involviere und sich bei genauer Betrachtung als recht komplex erweise, schildert Zarafa-CTO Steve Hardy in einem langen Blogpost ausführlich die Details. Am Ende seiner Erläuterungen finden sich Links zu den aktualisierten Z-Push-Paketen und zum Patch im Sourcecode.

Ein größeres Problem in Exchange?

Die Natur des Fehlers gibt in Hardys Blog aber auch Anlass für weitere Spekulationen von Kommentatoren. Dass der Fehler so ohne weiteres möglich sei, meint etwa Andrew Laurence von der Universität Kalifornien (Irvine), sei eventuell nur ein Symptom eines deutlich tiefer gehenden, sehr bedenklichen Fehlverhaltens, das auch auf einen systemimmanenten Fehler in Exchange und Active Sync hindeuten könne: "Das hört sich so an, als würde Exchange Active Sync [EAS] jedem [auch einem unberechtigten] Client erlauben, den Organisator eines Termins zu ändern. Dass das jetzt gerade bei iOS vorkommt, deutet doch nur auf ein größeres Problem in EAS hin".

Ähnliche Artikel

  • Zarafa Summercamp: Z-Push 2.0, EWS und Zweifaktor-Authentifizierung

    In den technischen Vorträgen des diesjährigen Entwicklertreffens von Zarafa im niederländischen Kerkrade stellten Mitarbeiter des Groupwareherstellers und seiner Partner Neuerungen an der Software und ihren Komponenten vor, zum Beispiel die am Donnerstag freigegebene Version 2 der freien Active-Sync-Implementierung Z-Push, die Zarafa-Weboberfläche Webapp 1.1 und die EWS-Unterstützung im Groupwareserver selbst. Vom Partner Ubikey kommt Two-Factor-Autentication mit Tokens auch in Webapp.

  • A la Giraffe

    Die Open-Source-Groupware Zarafa kommt schon in der Community-Edition mit vollständiger Mapi-Unterstützung und Active-Sync-Anbindung für mobile Geräte. Auf der Cebit hat der Hersteller den Release Candidate der neuen Version 6.40 vorgestellt. Das Linux-Magazin hat ihn unter die Lupe genommen.

  • Cebit 2011: Zarafas Groupware bringt Scalix Connector, Archivierung und Z-Push 1.5

    Der deutsch-holländische Groupwarehersteller Zarafa zeigt auf der Cebit 2011 die erste stabile Version seines Archivierungsplugins, neue Funktionen des Migrationshelfers und die aktuelle Version 1.5 von Z-Push, dem freien MAPI-Dienst.

  • Angriff auf Exchange: Capgemini startet Online-Exchange-Alternative, basierend auf Zarafa

    Auf dem Summercamp hatte Capgemini-CTO eine Keynote gehalten und mit deutlichen Worten gegen den Patriot Act gepoltert. Die Form der Zusammenarbeit mit Zarafa war da allerdings noch nicht bekannt, doch jetzt ist es raus: Der Microsoft-Partner stellt sich als Konkurrent zu den Redmondern auf und bringt ein Open-Source-basiertes Online-Angebot als Konkurrenz zu MS Exchange Online auf den Markt.

  • Neues von Zarafa: Web App 1.4, API, BB10 und Windows 8

    Ein Monat voller Neuerungen liegt hinter Zarafa: API, Z-Push und Web-Client präsentieren sich in neuen Versionen, dazu gibt's eine neue finale Version der freien Linux-Groupware.

comments powered by Disqus

Ausgabe 08/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook