Abo
  • IT-Karriere:

Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver

Eine Sicherheitslücke im Dovecot-Mailserver könnte es Angreifern erlauben, Code auszuführen. Updates stehen bereit.

Artikel veröffentlicht am ,
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden.
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden. (Bild: Filosofaster, Wikimedia Commons)

Für den Mailserver Dovecot steht ein wichtiges Update bereit. Ein Fehler bei der Verarbeitung von Strings im IMAP-Server kann zu einem Heap Buffer Overflow führen. Angreifer können damit möglicherweise Code ausführen.

Stellenmarkt
  1. SSP Deutschland GmbH, Frankfurt
  2. Bechtle Onsite Services GmbH, Stuttgart

Laut dem Advisory der Dovecot-Entwickler tritt das Problem auf, wenn man ein Null-Byte in einem durch Anführungszeichen eingeschlossenen String an den Server schickt. Ein einfaches Beispiel, wie man diesen Fehler auslösen kann, ist in der Mail erwähnt.

Ohne Authentifizierung ausnutzbar

Besonders gefährlich ist der Bug, weil er bereits vor der Authentifizierung mit dem Mailserver auftritt. Er kann also auch von Personen ausgelöst werden, die keinen Account auf dem Mailserver haben.

Im schlimmsten Fall könnte dieser Fehler für einen Remote-Code-Execution-Exploit genutzt werden. Das ist bei solchen Heap Overflows häufig möglich, allerdings erschweren Schutzmaßnahmen in modernen Betriebssystemen wie die Speicherrandomisierung ASLR Angriffe auf solche Lücken erheblich. Wie gefährlich der Bug für Serverbetreiber wird, dürfte auch davon abhängen, ob ein Exploit für den Bug veröffentlicht wird.

In jedem Fall sollten Serverbetreiber schnellstmöglich updaten. In den Versionen 2.3.7.2 und 2.2.36.4 ist der Bug behoben. Neben dem IMAP-Server ist auch die Software Pigeonhole betroffen, die das Mailfilterprotokoll Managesieve für Dovecot implementiert. Dort ist der Fehler in Version 0.5.7.2 behoben. Nutzer von Linux-Distributionen, die Dovecot über deren Paketquellen installiert haben, sollten auf Updates achten und diese falls verfügbar zeitnah installieren.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Yo 29. Aug 2019 / Themenstart

Erinnert sich noch jemand an diese Meldung: https://www.heise.de/ix/meldung/Mailserver...

netzwerkadmin 29. Aug 2019 / Themenstart

Er glaubt ja auch dass die Entwickler bei ALLEN Distributionen anrufen damit die ja alle...

demon driver 29. Aug 2019 / Themenstart

Soviel zur Theorie, und die Kritik "aus Prinzip" kann ich auch nachvollziehen. Ich wei...

netzwerkadmin 29. Aug 2019 / Themenstart

Na gut dass es jemand gab der zwar Debiansysteme nicht mag aber die Entwickler nicht für...

netzwerkadmin 29. Aug 2019 / Themenstart

Und was nimmt der "Solaris und nur Solaris" Papst?

Kommentieren


Folgen Sie uns
       


HP Pavilion Gaming 15 - Fazit

Das Pavilion Gaming 15 ist für 1.000 Euro ein gut ausgestattetes und durchaus flottes Spiele-Notebook.

HP Pavilion Gaming 15 - Fazit Video aufrufen
Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

    •  /