zurück zum Artikel

Der Hersteller hat in seinem gleichnamigen SMTP- und POP3-Server zwei Sicherheitslücken geschlossen, mit der Angreifer den Server kapern oder zum Absturz bringen können.

Der Hersteller MailEnable [1] hat in seinem gleichnamigen Mail-Server zwei Sicherheitslücken geschlossen, mit der Angreifer den Server kapern oder zum Absturz bringen können. Betroffen sind MailEnable Standard Edition vor 1.93, Professional Edition vor 1.73 und die Enterprise Edition vor 1.21.

Die erste Lücke findet sich in der Authentifizierung des POP3-Servers und beruht auf einem nicht näher beschriebenen Buffer Overflow. Zudem führen fehlerhaft "quoted-printable"-kodierte Mails bei der Ansicht im Webfrontend zu einer hundertprozentigen Systemauslastung des Servers. Dieser Fehler tritt allerdings nur in der Professional und Enterprise Edition auf, die kostenlose Standard Edition bietet kein Webmail-Interface.

Darüber hinaus hat der Hersteller auch einen Fehler in der Kryptobibliothek beseitigt. Es gibt bereits neue Versionen, in denen auch weitere nicht sicherheitsrelevante Fehler ausgebügelt sind. Ein Hotfix [2] schließt die Lücken ebenfalls.

Siehe dazu auch: (dab [3])

• Professional Edition Revision History [4], Changelog von MailEnable
• MailEnable POP3 Pre-Authentication Buffer Overflow [5], Fehlerreport von musecurity

URL dieses Artikels:
https://www.heise.de/-111468

Links in diesem Artikel:
[1] http://www.mailenable.com/default.asp
[2] http://www.mailenable.com/hotfix/default.asp
[3] mailto:dab@ct.de
[4] http://www.mailenable.com/professionalhistory.asp
[5] http://www.musecurity.com/MU-200603-01.txt

Copyright © 2006 Heise Medien