Chyby v Kerio MailServeru

Bylo zveřejněno několik závažných chyb s malou zneužitelností v oblíbeném Kerio MailServeru. Oprava zatím není k dispozici. Kerio MailServer je poštovním serverem pro firemní sítě. Nabízí řadu technologií, jejichž smyslem je ochrana uživatelů pošty před odposlechem, napadením viry a nevyžádanými e-maily.

Ve středu se v diskuzní skupině Full Disclosure objevil popis několika chyb v u nás vyvíjeném Kerio Mailserveru.

Nalezené Chyby jsou sice závažné, ale pro jejich vyvolání je nutné mít konto na mailserveru. Všechny chyby se týkají webového rozhraní poštovního serveru a umožňují tento server shodit, eventuelně spustit vlastní kód nebo podstrčit serveru JavaScript ke spuštění.

Celkem se jedná o 4 chyby typu buffer overflow (minimálně shodí server) a 2 chyby typu Cross site scripting (odezva serveru obsahuje podstrčený Javascript, který tak vypadá, že pochází z napadeného stroje. Například v případě, že nějaký jiný server má nastaven napadený server jako důvěryhodný, lze spustit neoprávněný kód).

Ačkoli by samy o sobě byly první čtyři chyby hodnoceny velmi vážně, k jejich vyvolání je nutné mít přístup ke kontu na daném serveru. Jejich zneužitelnost tedy není tak veliká, byť autor popisu chyb spekuluje o možnosti podstrčení odkazu uživateli, který je zrovna k danému serveru připojen.

Podle informací Kerio Technologies již o těchto chybách mají informace a v současné době pracují na opravě.

Diskuze (33) Další článek: Nero 6.0 s funkcemi pro editování videa bude za měsíc

Témata článku: Chyba, Cross, Napadený server, Kerio

Určitě si přečtěte


Aktuální číslo časopisu Computer

Test 6 odolných telefonů a 22 powerbank

Srovnání technologií QLED a OLED

Měřte své sportovní výkony

Sady pro chytrou domácnost