Sicherheitslücke in Dovecot

    • Offizieller Beitrag

    Ist "hibernation" bei uns an?

  • Ein paar mehr Details: hibernate scheint prinzipiell vorhanden zu sein

    Bash
    $ echo "" | nc -U  /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    VERSION imap-hibernate  1       0
    
    $ lsof -n | grep imap-hibernate
    dovecot   15560           root   41u     unix 0xffff8800dab20000       0t0   54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    imap-hibe 24578        dovecot  txt       REG             253,17     37264   21217373 /usr/local/pd-admin2/dovecot-2.2/libexec/dovecot/imap-hibernate
    imap-hibe 24578        dovecot    7u     unix 0xffff8800dab20000       0t0   54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate

    Bei mir ist der Socket vorhanden und es wird darauf gelauscht. Laut https://doc.dovecot.org/settings/core/ ist der Standardwert für imap_hibernate_timeout 0. Hibernate wird somit nicht genutzt. Natürlich sollte jeder einmal bei sich prüfen, ob der Wert nicht doch gesetzt wurde und >0 ist.


    Prinzipiell wäre die Sicherheitslücke da. Kann aber nicht ausgenutzt werden, da die Option standardmäßig deaktiviert ist.