Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver
Eine Sicherheitslücke im Dovecot-Mailserver könnte es Angreifern erlauben, Code auszuführen. Updates stehen bereit.

Für den Mailserver Dovecot steht ein wichtiges Update bereit. Ein Fehler bei der Verarbeitung von Strings im IMAP-Server kann zu einem Heap Buffer Overflow führen. Angreifer können damit möglicherweise Code ausführen.
Laut dem Advisory der Dovecot-Entwickler tritt das Problem auf, wenn man ein Null-Byte in einem durch Anführungszeichen eingeschlossenen String an den Server schickt. Ein einfaches Beispiel, wie man diesen Fehler auslösen kann, ist in der Mail erwähnt.
Ohne Authentifizierung ausnutzbar
Besonders gefährlich ist der Bug, weil er bereits vor der Authentifizierung mit dem Mailserver auftritt. Er kann also auch von Personen ausgelöst werden, die keinen Account auf dem Mailserver haben.
Im schlimmsten Fall könnte dieser Fehler für einen Remote-Code-Execution-Exploit genutzt werden. Das ist bei solchen Heap Overflows häufig möglich, allerdings erschweren Schutzmaßnahmen in modernen Betriebssystemen wie die Speicherrandomisierung ASLR Angriffe auf solche Lücken erheblich. Wie gefährlich der Bug für Serverbetreiber wird, dürfte auch davon abhängen, ob ein Exploit für den Bug veröffentlicht wird.
In jedem Fall sollten Serverbetreiber schnellstmöglich updaten. In den Versionen 2.3.7.2 und 2.2.36.4 ist der Bug behoben. Neben dem IMAP-Server ist auch die Software Pigeonhole betroffen, die das Mailfilterprotokoll Managesieve für Dovecot implementiert. Dort ist der Fehler in Version 0.5.7.2 behoben. Nutzer von Linux-Distributionen, die Dovecot über deren Paketquellen installiert haben, sollten auf Updates achten und diese falls verfügbar zeitnah installieren.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Erinnert sich noch jemand an diese Meldung: https://www.heise.de/ix/meldung/Mailserver...
Er glaubt ja auch dass die Entwickler bei ALLEN Distributionen anrufen damit die ja alle...
Soviel zur Theorie, und die Kritik "aus Prinzip" kann ich auch nachvollziehen. Ich wei...
Na gut dass es jemand gab der zwar Debiansysteme nicht mag aber die Entwickler nicht für...
Und was nimmt der "Solaris und nur Solaris" Papst?