Alt-N MDaemon bis 8.0.3 IMAP Server AUTHENTICATE Denial of Service

VulDB: Alt-N MDaemon bis 8.0.3 IMAP Server AUTHENTICATE Denial of Service

Allgemein

scipID: 1631
Betroffen: ALT-N Mdaemon bis 8.0.3
Veröffentlicht: 19.07.2005 (kcope)
Risiko: kritisch
Eintrag: 85.2% komplett
Erstellt: 25.07.2005

Beschreibung

Die Server-Software Mdaemon ermöglicht das Anbieten der Dienste SMTP, POP3, IMAP4 und LDAP auf UNIX- und Windows-Systemen. Kcope hat einen Fehler in den IMAP-Kommandos AUTHENTICATE LOGIN und AUTHENTICATE CRAM-MD5 gefunden. So kann der Mdaemon bis 8.0.3 zu einer Denial of Service bewegt werden. Es sind keine Details oder ein Exploit zur Schwachstelle bekannt. Ebenso wurde noch kein Bugfix angekündigt. Als Workaround wird empfohlen, den Zugriff zu betroffenen Servern mittels Firewalling zu limitieren. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (18070) und Secunia (SA16097) dokumentiert.

Schwachstellen bei Authentisierungen sind typische Klassiker. Sie erfreuen sich vor allem einem hohen Mass an Beliebtheit, weil jeder Remote-Anwender, der eine Verbindung zum Zielsystem herstellen kann, den Fehler für seine Zwecke ausnutzen könnte. Entsprechend geben die Entwickler von Systemen sehr viel Acht darauf, dass ihre Mechanismen nicht so ohne weiteres überlistet werden können. Deshalb ist es sehr unangenehm für ALT-N, einen solchen Fehler in ihrer Software einzugestehen.