Anwender der GNU Mailutils sollten ihre Software auf die neueste Version 0.6.90 aktualisieren. Die Mailutils bieten einen IMAP- und POP3-Server, Tools zur lokalen Auslieferung von Mails per SMTP sowie Filter. Insgesamt schließt die Software vier Lücken, die einem Angreifer die Gelegenheit bieten, das System unter seine Kontrolle zu bringen oder den Betrieb zu stören.
Allein drei der Fehler finden sich im imap4d-Server, wovon sich zwei durch präparierte Argumente zum Einschleusen und Ausführen von Code ausnutzen lassen. Im Falle einer entdeckten Format-String-Schwachstelle muss ein Angreifer nicht einmal am Server angemeldet sein. Die vierte Lücke beruht auf einem Buffer Overflow in einer Funktion zur Abfrage der Mailboxen. Über Mails mit präparierten Headern lässt sich ein System ebenfalls mit Schadcode infizieren. Allerdings läuft dieser nur mit den Rechten des Anwenders, der die Mail abruft.
Quelle und Links :
http://www.heise.de/newsticker/meldung/59932
