Via Dovecot zu Root-Rechten

Mit den Versionen 2.3.5.1 und 2.2.36.3 des Linux-Mailservers Dovecot beseitigen die Entwickler einen Fehler bei der Behandlung von Indizes, der zu einem Pufferüberlauf führen konnte (CVE-2019-7524). Dieser lässt sich prinzipiell nutzen, um Root-Rechte auf dem Server zu erlangen. Der Angreifer benötigt dazu allerdings bereits einen Account auf dem System und die Rechte, Dovecot-Index-Dateien zu verändern.

Dovecot ist ein populärer IMAP- und POP3-Mail-Server für Linux. Das Dovecot-Team empfiehlt Betreibern eines solchen Dienstes, möglichst zügig auf die gefixten Versionen zu aktualisieren. Als schnellen Workaround könne man auch temporär FTS und das Plug-in pop3-uidl abschalten.

Schutz vor Pufferüberläufen

Außerdem merkt der Hersteller, der das Problem selbst gefunden und beseitigt hat, in seinem Dovecot-Advisory an, dass das Ausnutzen solcher Fehler bei den 2.3er-Versionen deutlich schwieriger ist. Diese enthalten vorbeugende Schutzmaßnahmen wie ASLR, Stack-Smashing-Protection und schreibgeschützte GOT-Tabellen. Vielleicht ist das Update also ein guter Anlass, auch ein Versions-Upgrade durchzuführen. (ju)