Mail-Client Evolution geht bei bestimmten Mails die Puste aus
Alan Cox, einer der führenden Linux-Entwickler, hat eine Schwachstelle in der aktuellen Version 2.4.2.1 des E-Mail-Clients Evolution gemeldet, die sich für Denial-of-Service-Attacken missbrauchen lässt.
Alan Cox, einer der führenden Linux-Entwickler, hat eine Schwachstelle in der aktuellen Version 2.4.2.1 des E-Mail-Clients Evolution gemeldet, die sich für Denial-of-Service-Attacken missbrauchen lässt. Bei der Anzeige großer Mails mit zahlreichen URL-Links und weiteren HTML-Formatierungen reagiert der Mail-Client und Personal Information Manager für Linux nicht mehr. Nach einem Neustart versucht Evolution, die Mail abermals anzuzeigen und stürzt wieder ab. Eine fehlerbereinigte Version steht noch nicht zur Verfügung. Sofern der Anwender IMAP benutzt, lässt sich die fehlerhafte Mail mit einem anderen Mail-Client entfernen, um anschließend mit Evolution weiterarbeiten zu können. Andernfalls muss die mbox-Datei per Hand editiert werden.
Cox vermutet, dass das Problem in der Bibliothek gtkhtml liegt und andere Anwendungen ebenfalls betroffen sein könnten. In seinem Posting auf Bugtraq beschwert sich Cox zudem, dass sich offenbar keiner der Distributoren des Problems annimmt. So habe er seine Informationen bereits am 18. Januar auf der geschlossenen und nur Herstellern sowie Entwicklern zugänglichen Sicherheits-Mailliste Vendor-Sec veröffentlicht. Wahrscheinlich, um eine Reaktion zu provozieren, hat Cox nun eine Test-Mail öffentlich zur Verfügung gestellt, die die Schwachstelle demonstriert. Als Workaround empfiehlt Cox den Einsatz eines anderen Mail-Clients oder das vorherige Ausfiltern verdächtiger Mails auf einem Gateway.
Siehe dazu auch: (dab)
- Evolution EMailer DoS Bericht von Alan Cox
