Das Jahr fängt ja prima für uns an https://www.heise.de/news/Angr…-Mails-lesen-5004691.html
Sicherheitslücke in Dovecot
-
-
Zitat
Vulnerability Details:
When imap hibernation is active, an attacker can cause Dovecot to
discover file
system directory structure and access other users' emails using
specially crafted
command. The attacker must have valid credentials to access the mail server.
Risk:
Attacker can access other users' emails and filesystem information.
Workaround:
Operators can choose to disable IMAP hibernation. IMAP hibernation is
not on by
default. To ensure imap hibernation is disabled, make sure
imap_hibernate_timeout
is set to 0 or unset.
Ist "hibernation" bei uns an?
-
Bei mir wird imap_hibernate_timeout in der dovecot Konfiguration nicht gesetzt. Dem Text nach sollte dies somit nicht aktiviert sein.
-
Ein paar mehr Details: hibernate scheint prinzipiell vorhanden zu sein
Bash$ echo "" | nc -U /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate VERSION imap-hibernate 1 0 $ lsof -n | grep imap-hibernate dovecot 15560 root 41u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate imap-hibe 24578 dovecot txt REG 253,17 37264 21217373 /usr/local/pd-admin2/dovecot-2.2/libexec/dovecot/imap-hibernate imap-hibe 24578 dovecot 7u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
Bei mir ist der Socket vorhanden und es wird darauf gelauscht. Laut https://doc.dovecot.org/settings/core/ ist der Standardwert für imap_hibernate_timeout 0. Hibernate wird somit nicht genutzt. Natürlich sollte jeder einmal bei sich prüfen, ob der Wert nicht doch gesetzt wurde und >0 ist.
Prinzipiell wäre die Sicherheitslücke da. Kann aber nicht ausgenutzt werden, da die Option standardmäßig deaktiviert ist.