Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver

Eine Sicherheitslücke im Dovecot-Mailserver könnte es Angreifern erlauben, Code auszuführen. Updates stehen bereit.

Artikel veröffentlicht am ,
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden.
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden. (Bild: Filosofaster, Wikimedia Commons)

Für den Mailserver Dovecot steht ein wichtiges Update bereit. Ein Fehler bei der Verarbeitung von Strings im IMAP-Server kann zu einem Heap Buffer Overflow führen. Angreifer können damit möglicherweise Code ausführen.

Stellenmarkt
  1. Key User SAP SD/SAP S4 HANA (m/w/d)
    DEKRA Automobil GmbH, Stuttgart
  2. IT Architekt :in / Systemarchitekt :in / Anwendungsentwickler :in (m/w/d)
    ARTS Holding SE, Darmstadt
Detailsuche

Laut dem Advisory der Dovecot-Entwickler tritt das Problem auf, wenn man ein Null-Byte in einem durch Anführungszeichen eingeschlossenen String an den Server schickt. Ein einfaches Beispiel, wie man diesen Fehler auslösen kann, ist in der Mail erwähnt.

Ohne Authentifizierung ausnutzbar

Besonders gefährlich ist der Bug, weil er bereits vor der Authentifizierung mit dem Mailserver auftritt. Er kann also auch von Personen ausgelöst werden, die keinen Account auf dem Mailserver haben.

Im schlimmsten Fall könnte dieser Fehler für einen Remote-Code-Execution-Exploit genutzt werden. Das ist bei solchen Heap Overflows häufig möglich, allerdings erschweren Schutzmaßnahmen in modernen Betriebssystemen wie die Speicherrandomisierung ASLR Angriffe auf solche Lücken erheblich. Wie gefährlich der Bug für Serverbetreiber wird, dürfte auch davon abhängen, ob ein Exploit für den Bug veröffentlicht wird.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    05./06.12.2022, Virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
Weitere IT-Trainings

In jedem Fall sollten Serverbetreiber schnellstmöglich updaten. In den Versionen 2.3.7.2 und 2.2.36.4 ist der Bug behoben. Neben dem IMAP-Server ist auch die Software Pigeonhole betroffen, die das Mailfilterprotokoll Managesieve für Dovecot implementiert. Dort ist der Fehler in Version 0.5.7.2 behoben. Nutzer von Linux-Distributionen, die Dovecot über deren Paketquellen installiert haben, sollten auf Updates achten und diese falls verfügbar zeitnah installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Yo 29. Aug 2019

Erinnert sich noch jemand an diese Meldung: https://www.heise.de/ix/meldung/Mailserver...

netzwerkadmin 29. Aug 2019

Er glaubt ja auch dass die Entwickler bei ALLEN Distributionen anrufen damit die ja alle...

demon driver 29. Aug 2019

Soviel zur Theorie, und die Kritik "aus Prinzip" kann ich auch nachvollziehen. Ich wei...

netzwerkadmin 29. Aug 2019

Na gut dass es jemand gab der zwar Debiansysteme nicht mag aber die Entwickler nicht für...



Aktuell auf der Startseite von Golem.de
Viertes Mobilfunknetz
1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen

Fast keine eigenen Antennenstandorte, schwaches Open RAN, steigende Zinsen und Energiekosten: Ralph Dommermuth soll den Ausstieg bei 1&1 prüfen lassen. Das Unternehmen dementiert dies klar.

Viertes Mobilfunknetz: 1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen
Artikel
  1. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  2. Verkehrsunternehmen: 49-Euro-Ticket kommt wohl erst im Mai
    Verkehrsunternehmen
    49-Euro-Ticket kommt wohl erst im Mai

    Das 49-Euro-Ticket sollte Anfang 2023 erscheinen, doch Verkehrsunternehmen erwarten den Start erst im Mai 2023. Kommunen drohen gar mit Blockade.

  3. Prozessor-Bug: Wie Intel einen Bug im ersten x86-Prozessor fixte
    Prozessor-Bug
    Wie Intel einen Bug im ersten x86-Prozessor fixte

    Der Prozessor tut nicht ganz, was er soll? Heute löst das oft eine neue Firmware, vor 40 Jahren musste neues Silizium her.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /