CipherTrusts Lösung für sichere E-Mail gibt Informationen preis

Ein Fehler in CipherTrusts IronWebMail ermöglicht die Einsicht in beliebige Dateien auf dem System. Ein Angreifer könnte damit auch die über eine IronMail-Appliance verschickten Nachrichten sowie Log-in-Daten mitlesen. Eigentlich soll das Produkt gerade sicheres Mailing und Messaging per Web möglich machen und hat dazu Anti-Spam-Funktionen, Zero-Day-Anti-Viren-Schutz, Intrusion Prevention, Anti-Phishing und seine Secure-WebMail-Lösung integriert. Zusätzlich bietet Secure WebMail Single Sign-On und unterstützt RSA SecurID.

Leider macht eine Lücke im eingebauten Webserver der auf FreeBSD 4.10 beruhenden Lösung der Sicherheit einen Strich durch die Rechnung. Mit bestimmten HTTP-GET-Requests lässen sich nämlich auch Dateien außerhalb des Wurzelverzeichnisses des Servers aufrufen. Der Angreifer muss dazu nach Angaben von Symantec, dessen Sicherheitsspezialisten die Lücke entdeckt haben, nicht authentifiziert sein. CipherTrust hat die Lücke bestätigt. Betroffen sind IronMail 5.0.1 und 6.1.1. Ein Hotfix behebt das Problem für Version 6.1.1. Anwender von 5.0.1 sollen nach Angaben des Herstellers auf 6.1.1 upgraden.

Siehe dazu auch: (dab)

• Directory Traversal in IronWebMail, Fehlerbericht von Symantec