Mailserver Dovecot: erfolgreiches Sicherheits-Audit
Als weitestgehend sicher stuft das Berliner IT-Sicherheitsunternehmen Cure53 den Mailserver Dovecot ein. In Auftrag gegeben hatte diese Untersuchung die Mozilla Foundation.
- Jan Bundesmann
Lediglich drei kleinere Sicherheitslücken hat das Berliner IT-Ssecurity-Unternehmen Cure53 im Mail-Server Dovecot gefunden. Die Firma hatte im Auftrag der Mozilla Foundation ein Sicherheitsaudit des beliebten POP- und IMAP-Servers durchgeführt. Das Softwareprojekt erfüllt damit seine selbst gestellte Anforderung "written with security primarily in mind" relativ gut. Cure53 untersuchte für seinen Test Version 2.2.26.0 der Mail-Servers.
Das Sicherheits-Audit bestand aus einem Code-Review gefolgt von Quelltext-assistierten Penetration Tests. Den Code stuft der Abschluss-Bericht als hochgradig verwoben ein, was den Review-Prozess in die Länge gezogen hat. In Anbetracht des Umfangs und der Komplexität des Projekts zeigten sich die Gutachter jedoch überrascht von der geringen Zahl an Sicherheistlücken: Drei Schwachstellen wurden identifiziert.
Projektförderung durch die Mozilla-Foundation
Beauftragt und finanziert hatte die Sicherheitsüberprüfung die Mozilla Foundation im Rahmen des Projekts Mozilla Open Source Support (MOSS). Darin unterstützt die Stiftung freie, aktiv weiterentwickelte Software finanziell. Ein Teilprojekt von MOSS soll helfen, die Sicherheit von Open-Source-Entwicklungen voranzutreiben: Secure Open Source (SOS). 2016 profitierten PCRE, libjpeg-turbo, phpMyAdmin, dnsmasq, zlib und curl von dieser Förderung. In diesem Jahr macht der Bericht über das Sicherheitsaudit von Dovecot den Anfang. (jab)
