Bylo zveřejněno několik závažných chyb s malou zneužitelností v oblíbeném Kerio MailServeru. Oprava zatím není k dispozici. Kerio MailServer je poštovním serverem pro firemní sítě. Nabízí řadu technologií, jejichž smyslem je ochrana uživatelů pošty před odposlechem, napadením viry a nevyžádanými e-maily.
Ve středu se v diskuzní skupině Full Disclosure objevil popis několika chyb v u nás vyvíjeném Kerio Mailserveru.
Nalezené Chyby jsou sice závažné, ale pro jejich vyvolání je nutné mít konto na mailserveru. Všechny chyby se týkají webového rozhraní poštovního serveru a umožňují tento server shodit, eventuelně spustit vlastní kód nebo podstrčit serveru JavaScript ke spuštění.
Celkem se jedná o 4 chyby typu buffer overflow (minimálně shodí server) a 2 chyby typu Cross site scripting (odezva serveru obsahuje podstrčený Javascript, který tak vypadá, že pochází z napadeného stroje. Například v případě, že nějaký jiný server má nastaven napadený server jako důvěryhodný, lze spustit neoprávněný kód).
Ačkoli by samy o sobě byly první čtyři chyby hodnoceny velmi vážně, k jejich vyvolání je nutné mít přístup ke kontu na daném serveru. Jejich zneužitelnost tedy není tak veliká, byť autor popisu chyb spekuluje o možnosti podstrčení odkazu uživateli, který je zrovna k danému serveru připojen.
Podle informací Kerio Technologies již o těchto chybách mají informace a v současné době pracují na opravě.