Der Sicherheitsdienstleister Secunia hat in der Mailserver-Software Mailenable Professional 1.6 und frühere sowie MailEnable Enterprise 1.1 und frühere zwei Schwachstellen entdeckt. Im IMAP-Server (MEIMAP.EXE) lässt sich bei Angabe zu langer Mailbox-Namen in Zusammenhang mit den verschiedenen Befehlen ein Pufferüberlauf provozieren. Ein Angreifer kann damit eigenen Code in das System einschleusen und mit den Rechten des Mailservers ausführen.

Durch Angabe bestimmter Mailbox-Namen ist außerdem ein Directory Traversing möglich, durch das sich auf dem Server Verzeichnisse an beliebigen Orten erzeugen und umbenennen lassen. Ein Angreifer kann durch das Umbenennen den Zugriff anderer Anwender auf ihre Mailboxen verhindern. Der Hersteller stellt einen Hotfix zur Verfügung und in Version 1.7 sind die Fehler bereits beseitigt.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE