Ipswitch Collaboration Suite kollabiert
In der Ipswitch Collaboration Suite wurde eine Format-String-Schwachstelle aufgespürt, die Angreifern das Einschleusen und Ausführen von Code ermöglichen könnte. Im integrierten IMail könnte ein Fehler zu einem Denial-of-Service genutzt werden.
In der Ipswitch Collaboration Suite hat der Sicherheitsdienstleister iDefense eine Format-String-Schwachstelle aufgespürt, die Angreifern das Einschleusen und Ausführen von Code ermöglichen könnte. Im integrierten IMAP-Server IMail könnte ein Fehler zu einem Denial-of-Service (DoS) genutzt werden.
Während die Lücke im IMAP-Server nur durch angemeldete Nutzer durch das Senden präparierter, über 8000 Bytes langer LIST-Anfragen ausgenutzt werden kann, ist die Format-String-Schwachstelle im SMTP-Service von nicht authentifizierten Benutzern angreifbar. Die Funktion zum Auswerten von benutzerdefinierten Zeichenketten in den Mail-Feldern EXPN, MAIL, MAIL FROM, RCPT TO interpretiert bestimmte Zeichenketten als Speicheradressen, wodurch Code ins System eingeschmuggelt werden könnte.
Betroffen sind Versionen der Collaboration Suite vor 2.02 sowie IMail vor 8.22. Die neuen Versionen schließen die Lücken und sollten daher zügig eingespielt werden.
Siehe dazu auch: (dmk)
- Ipswitch Collaboration Suite SMTP Format String Vulnerability, Security Advisory von iDefense
- Ipswitch IMail IMAP List Command DoS Vulnerability, Security Advisory von iDefense
- Download der Ipswitch Collaboration Suite 2.02
- Download von Ipswitch IMail 8.22
