Sicherheits-Update für Perdition IMAP-Server
Durch Angabe eines Null-Bytes in einem IMAP-Request ist es möglich, eine Format-String-Schwachstelle auszunutzen.
Der Sicherheitsdienstleister SEC Consult hat in einem Fehlerbericht auf eine Schwachstelle im Perdition IMAP-Server hingewiesen, über die sich ein System zum Absturz bringen oder kompromittieren lässt. Das Problem beruht auf einem Fehler, mit dem sich die Prüfung auf bösartige Format-Strings in IMAP-Request austricksen lässt. Durch Angabe eines Null-Bytes in einem IMAP-Request ist es so laut Bericht doch möglich, eine Format-String-Schwachstelle auszunutzen. Ein Beispiel führt SEC Consult in seiner Fehlerbeschreibung auf. Betroffen sind die Versionen bis einschließlich 1.17, seit Version 1.17.1 ist die Lücke geschlossen.
Siehe dazu auch:
- Perdition IMAP proxy str_vwrite format string vulnerability, Fehlerbericht von SEC Consult
(dab)