• IT-Karriere:
  • Services:

Sicherheitslücke: Buffer Overflow in Dovecot-Mailserver

Eine Sicherheitslücke im Dovecot-Mailserver könnte es Angreifern erlauben, Code auszuführen. Updates stehen bereit.

Artikel veröffentlicht am ,
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden.
In der Mailserver-Software Dovecot wurde eine kritische Sicherheitslücke gefunden. (Bild: Filosofaster, Wikimedia Commons)

Für den Mailserver Dovecot steht ein wichtiges Update bereit. Ein Fehler bei der Verarbeitung von Strings im IMAP-Server kann zu einem Heap Buffer Overflow führen. Angreifer können damit möglicherweise Code ausführen.

Stellenmarkt
  1. Limbach Gruppe SE, Heidelberg
  2. aluplast GmbH, Karlsruhe

Laut dem Advisory der Dovecot-Entwickler tritt das Problem auf, wenn man ein Null-Byte in einem durch Anführungszeichen eingeschlossenen String an den Server schickt. Ein einfaches Beispiel, wie man diesen Fehler auslösen kann, ist in der Mail erwähnt.

Ohne Authentifizierung ausnutzbar

Besonders gefährlich ist der Bug, weil er bereits vor der Authentifizierung mit dem Mailserver auftritt. Er kann also auch von Personen ausgelöst werden, die keinen Account auf dem Mailserver haben.

Im schlimmsten Fall könnte dieser Fehler für einen Remote-Code-Execution-Exploit genutzt werden. Das ist bei solchen Heap Overflows häufig möglich, allerdings erschweren Schutzmaßnahmen in modernen Betriebssystemen wie die Speicherrandomisierung ASLR Angriffe auf solche Lücken erheblich. Wie gefährlich der Bug für Serverbetreiber wird, dürfte auch davon abhängen, ob ein Exploit für den Bug veröffentlicht wird.

In jedem Fall sollten Serverbetreiber schnellstmöglich updaten. In den Versionen 2.3.7.2 und 2.2.36.4 ist der Bug behoben. Neben dem IMAP-Server ist auch die Software Pigeonhole betroffen, die das Mailfilterprotokoll Managesieve für Dovecot implementiert. Dort ist der Fehler in Version 0.5.7.2 behoben. Nutzer von Linux-Distributionen, die Dovecot über deren Paketquellen installiert haben, sollten auf Updates achten und diese falls verfügbar zeitnah installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Anti Corona-Warn-App
    Die peinliche "Späher-App" der AfD
  2. Coronavirus
    Die weltweite 5G-Verschwörung erklärt
  3. Elektroauto
    Seat enthüllt sportlichen Cupra el-Born mit 500 km Reichweite
  4. Facebook-Boykott
    Imagepflege zum Nulltarif
  5. Urban Sports Cruiser
    Bosch zeigt Elektrofahrrad der Zukunft
Anzeige
Top-Angebote
  1. (u. a. Deal des Tages: Honor MagicBook 15 15,6 Zoll Full-HD-IPS Ryzen 5 für 548,53€, Asus ROG...
  2. (u. a. be quiet! Dark Rock Pro TR4 CPU-Kühler für 62,90€, be quiet! Dark Base Pro 900 rev.2 Big...
  3. 94,99€ (Bestpreis!)
  4. (u. a. Boxsets, Neuheiten, 10 Blu-rays für 50€, Hörspiele, Serien)
Kommentarübersicht
Seltsam, lt. einem Audit sollte es den Fehler...
Yo 29. Aug 2019

Erinnert sich noch jemand an diese Meldung: https://www.heise.de/ix/meldung/Mailserver...

Re: Ab welcher Version ist der Bug vorhanden?
netzwerkadmin 29. Aug 2019

Er glaubt ja auch dass die Entwickler bei ALLEN Distributionen anrufen damit die ja alle...

Re: Ebenso Ubuntu
demon driver 29. Aug 2019

Soviel zur Theorie, und die Kritik "aus Prinzip" kann ich auch nachvollziehen. Ich wei...

Re: apt changelog braucht keine Root-Rechte
netzwerkadmin 29. Aug 2019

Na gut dass es jemand gab der zwar Debiansysteme nicht mag aber die Entwickler nicht für...

Re: Taubenscheiße
netzwerkadmin 29. Aug 2019

Und was nimmt der "Solaris und nur Solaris" Papst?

Folgen Sie uns
       
Tesla-Baustelle in Grünheide - Eindrücke (März 2020)

Golem.de hat im März 2020 die Baustelle der Tesla-Fabrik in Grünheide besucht und Drohnenaufnahmen vom aktuellen Stand des Großprojekts gedreht.

Tesla-Baustelle in Grünheide - Eindrücke (März 2020) Video aufrufen
Apple Silicon
Apple Silicon: Eigene Mac-GPU statt AMD- oder Nvidia-Grafik
Apple Silicon
Eigene Mac-GPU statt AMD- oder Nvidia-Grafik

Geforce und Radeon fliegen raus - zumindest in Macs mit Apple Silicon statt Intel x86.

  1. Developer Transition Kit Apples A12Z trotz Emulation flotter als Snapdragon 8cx
Blockchain
Threefold: Die Idee vom dezentralen Peer-to-Peer-Internet
Threefold
Die Idee vom dezentralen Peer-to-Peer-Internet

Wie mit Blockchain, autonomem Ressourcenmanagement und verteilter Infrastruktur ein gerechteres Internet entstehen soll.
Von Boris Mayer

  1. Circulor Volvo kämpft per Blockchain gegen Warlords und Kinderarbeit
  2. Hamsterkäufe App soll per Blockchain Klopapiermangel vorbeugen
Echo
Echo Auto im Test: Tolle Sprachsteuerung und neue Alexa-Funktionen
Echo Auto im Test
Tolle Sprachsteuerung und neue Alexa-Funktionen

Im Auto ist die Alexa-Sprachsteuerung noch praktischer als daheim. Amazon hat bei Echo Auto die wichtigsten Einsatzzwecke im Fahrzeug bedacht.
Ein Test von Ingo Pakalski

  1. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto
  2. Echo Flex mit zwei Modulen im Test Gut gedacht, mäßig gemacht
  3. Amazon Zahlreiche Echo-Modelle nicht mehr bis Weihnachten lieferbar
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /