Vorsicht bei der Kombination von Exim und Dovecot

Published by

Eine gängige Art, die beiden Mail-Server-Programme Exim und Dovecot zu koppeln, führt zu einem ernsthaften Sicherheitsloch, durch das Angreifer Code einschleusen und ausführen könnten. Von Heise:
Der Mail-Server Exim setzt für die lokale Zustellung von E-Mails häufig den POP- und IMAP-Server Dovecot ein; Dovecot agiert dabei als sogenannter Local Delivery Agent. Wird dabei wie unter anderem im Dovecot-Wiki vorgeschlagen, in der Exim-Konfiguration der Parameter use_shell gesetzt, kommt es zu einer Sicherheitslücke. So könnte ein Angreifer etwa die Absenderadresse einer Mail so zusammenstellen, dass Dovecot bei der Zustellung der Mail die eingebetteten Shell-Befehle ausführt. Die könnten dann etwa via wget ein Programm aus dem Internet herunterladen und dann ausführen.


Weiter lesen