Chyby v Kerio MailServeru

Bylo zveřejněno několik závažných chyb s malou zneužitelností v oblíbeném Kerio MailServeru. Oprava zatím není k dispozici. Kerio MailServer je poštovním serverem pro firemní sítě. Nabízí řadu technologií, jejichž smyslem je ochrana uživatelů pošty před odposlechem, napadením viry a nevyžádanými e-maily.

Ve středu se v diskuzní skupině Full Disclosure objevil popis několika chyb v u nás vyvíjeném Kerio Mailserveru.

Nalezené Chyby jsou sice závažné, ale pro jejich vyvolání je nutné mít konto na mailserveru. Všechny chyby se týkají webového rozhraní poštovního serveru a umožňují tento server shodit, eventuelně spustit vlastní kód nebo podstrčit serveru JavaScript ke spuštění.

Celkem se jedná o 4 chyby typu buffer overflow (minimálně shodí server) a 2 chyby typu Cross site scripting (odezva serveru obsahuje podstrčený Javascript, který tak vypadá, že pochází z napadeného stroje. Například v případě, že nějaký jiný server má nastaven napadený server jako důvěryhodný, lze spustit neoprávněný kód).

Ačkoli by samy o sobě byly první čtyři chyby hodnoceny velmi vážně, k jejich vyvolání je nutné mít přístup ke kontu na daném serveru. Jejich zneužitelnost tedy není tak veliká, byť autor popisu chyb spekuluje o možnosti podstrčení odkazu uživateli, který je zrovna k danému serveru připojen.

Podle informací Kerio Technologies již o těchto chybách mají informace a v současné době pracují na opravě.

Diskuze (33) Další článek: Nero 6.0 s funkcemi pro editování videa bude za měsíc

Témata článku: Kerio, Napadený server, Chyba, Cross


Určitě si přečtěte

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

** Levné cetky z Asie stojí dolar ** Postavíte s nimi skoro vše od teploměru po spínač zavlažování ** Má to ale jeden háček. Bude to ošklivé a povětšinou nekvalitní

Jakub Čížek | 22

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

Google Cloud Next: Blíží se bitva o to, kdo ovládne cloud, tedy internet zítřka

** Google v týdnu ukázal nové telefony Pixel ** V Londýně se ale také konal Google Cloud Next ** Konference o tom, jak bude vypadat internet v cloudu zítra

Jakub Čížek | 32

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

** Airlander 10 nabídne plavby vzduchem v interiéru s prosklenou podlahou ** Luxusní vzducholoď byla původně vyvíjena pro vojenské účely ** Počítá se s třídenními „kochacími“ výlety za poznáním

Karel Kilián | 7


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku