Kritische Lücken in Mailserver MailEnable

Die Mailserver-Software MailEnable enthält zwei Sicherheitslücken, über die ein Angreifer die Kontrolle über das System übernehmen kann. Fehler Nummer eins findet sich im HTTPMail-Connector (Port 8080) und beruht auf einem Buffer Overflow, der das Einschleusen und Ausführen von Code ermöglicht. Der zweite Fehler tritt im IMAP- und SMTP-Dienst auf und lässt sich ebenfalls zum Einschleusen eigener Programme ausnutzen. Nähere Informationen hierzu sind jedoch nicht verfügbar. Für die erste Schwachstelle gibt es bereits einen Exploit.

Betroffen sind die Enterprise-Version 1.04 und vorhergehende sowie die Professional-Version 1.54 und vorhergehende. Der Hersteller hat für den Connector einen Hotfix bereitgestellt. Die Lücke im IMAP/SMTP-Dienst schließt ein weiterer Hotfix. (dab)