Sicherheitsprobleme in Kerio Mailserver

Mehrere Buffer Overflows und eine Cross-Site-Scripting-Schwäche im Webmail-Modul wurden entdeckt.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

In der Mailingliste Full-Disclosure ist ein Advisory veröffentlicht worden, in dem auf mehrere Fehler im Webmail-Modul des aktuellen Kerio Mailservers 5.6.3 hingewiesen wird. Ein Patch steht noch nicht zur Verfügung.

Buffer Overflows in den Skripten do_subscribe, add_acl, list und do_map können den Server abstürzen lassen und potenziell auch zum Einschleusen und Ausführen von beliebigem Code missbraucht werden. Allerdings ist dazu ein Account auf dem Mailserver notwendig. Weitere Fehler in der Behandlung von angeforderten URLs in add_acl und do_map erlauben einem Angreifer Cross-Site-Scripting-Attacken durchzuführen.

Der bereits in c't 09/03 vorgestellte Kerio Mailserver unterstützt IMAP, POP3, SMTP und bietet zusätzlich ein Webinterface mit SSL. Der SpamAssassin zur Abwehr von Spam-Mails ist bereits integriert, ein Virenscanner kann integriert werden. (dab)