Sicherheitslücke in Dovecot

  • Ist "hibernation" bei uns an?

  • Ein paar mehr Details: hibernate scheint prinzipiell vorhanden zu sein

    Bash
    $ echo "" | nc -U /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    VERSION imap-hibernate 1 0
    $ lsof -n | grep imap-hibernate
    dovecot 15560 root 41u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    imap-hibe 24578 dovecot txt REG 253,17 37264 21217373 /usr/local/pd-admin2/dovecot-2.2/libexec/dovecot/imap-hibernate
    imap-hibe 24578 dovecot 7u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate

    Bei mir ist der Socket vorhanden und es wird darauf gelauscht. Laut https://doc.dovecot.org/settings/core/ ist der Standardwert für imap_hibernate_timeout 0. Hibernate wird somit nicht genutzt. Natürlich sollte jeder einmal bei sich prüfen, ob der Wert nicht doch gesetzt wurde und >0 ist.


    Prinzipiell wäre die Sicherheitslücke da. Kann aber nicht ausgenutzt werden, da die Option standardmäßig deaktiviert ist.