Menü
Alert!

Sicherheitsleck in Mercury-Mail [Update]

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Von

Durch eine Sicherheitslücke im kostenlosen Mailserver Mercury/32 vom Pegasus-Mail-Entwickler können Angreifer beliebigen Programmcode einschleusen und zur Ausführung bringen. Durch das Senden einer zu langen Zeichenkette bei einer AUTH CRAM-MD5-Anfrage zur Authentifizierung am Mail-Server kann ein Pufferüberlauf in der Datei mercurys.dll auftreten.

Der Fehler betrifft die aktuelle Version 4.51 des Servers, möglicherweise sind aber auch ältere Fassungen anfällig. Ein Sicherheitsupdate vom Hersteller steht bislang noch nicht bereit. Bis zur Verfügbarkeit eines Patches sollten Administratoren eines Mercury-Mail-Servers den Zugriff auf vertrauenswürdige Personen und Rechner beschränken.

Update:
Inzwischen stehen Updates für den Mercury-Server zur Verfügung. Mercury/32 4.52 ersetzt die fehlerhafte Version 4.51. Wer noch die Version 4.01b einsetzt und nicht auf die aktuelle Version umsteigen will, sollte den Patch auf 4.01c einspielen. Auch für die Novell-Versionen hat der Entwickler Updates herausgegeben.

Siehe dazu auch:

(dmk)