Der Sicherheitsdienstleister Secunia
hat in der Mailserver-Software Mailenable
Professional 1.6 und frühere sowie MailEnable Enterprise 1.1
und frühere zwei Schwachstellen entdeckt. Im IMAP-Server (MEIMAP.EXE)
lässt sich bei Angabe zu langer Mailbox-Namen in Zusammenhang
mit den verschiedenen Befehlen ein Pufferüberlauf provozieren.
Ein Angreifer kann damit eigenen Code in das System einschleusen
und mit den Rechten des Mailservers ausführen.
Durch Angabe bestimmter Mailbox-Namen ist außerdem ein Directory
Traversing möglich, durch das sich auf dem Server Verzeichnisse
an beliebigen Orten erzeugen und umbenennen lassen. Ein Angreifer
kann durch das Umbenennen den Zugriff anderer Anwender auf ihre
Mailboxen verhindern. Der Hersteller stellt einen Hotfix
zur Verfügung und in Version 1.7 sind die Fehler bereits beseitigt.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|