Die Versionen 2.3.5.1 und 2.2.36.3 des Linux-Mailservers Dovecot beseitigen einen Fehler bei der Behandlung von Indizes, der zu einem Pufferüberlauf führen konnte (CVE-2019-7524). Prinzipiell lässt sich dieser Fehler nutzen, um Root-Rechte auf dem Server zu erlangen. Dazu benötigt der Angreifer allerdings bereits einen Account auf dem System und die Rechte, Dovecot-Index-Dateien zu verändern.

Für Linux ist Dovecot ein populärer IMAP- und POP3-Mail-Server. Möglichst zügig auf die gefixten Versionen zu aktualisieren, empfiehlt das Dovecot-Team Betreibern eines solchen Dienstes. Als schnellen Workaround kann auch temporär FTS und das Plug-in pop3-uidl abgeschaltet werden.

Zudem merkt der Hersteller, der das Problem selbst gefunden und beseitigt hat, in seinem Dovecot-Advisory an, dass das Ausnutzen solcher Fehler bei den 2.3er-Versionen deutlich schwieriger ist. Diese enthalten vorbeugende Schutzmaßnahmen wie ASLR, Stack-Smashing-Protection und schreibgeschützte GOT-Tabellen.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE