Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 7/5/2013
Hvis man følger en standardopskrift på at kombinere mailserverprogrammerne Dovecot og Exim, åbner man et alvorligt sikkerhedshul.Exim er et SMTP-mailserverprogram, mens Dovecot er det program, brugernes mailprogrammer bruger til at hente mail med via POP3 eller IMAP.
Standardkonfigurationen af de to programmer er ikke sårbar. Men hvis man har brug for at kombinere dem med spamfiltrering, er man nødt til at ændre på konfigurationen.
En opskrift på hvordan det gøres indebærer, at der bliver åbnet for en sårbarhed, så angribere kan afvikle programkode på mailserveren. Opskriften, der følger med dokumentationen til Dovecot, er nu ændret.
Man kan løse problemet ved at rette i konfigurationsfilen og fjerne muligheden "use_shell." Det skriver sikkerhedsfirmaet RedTeam Pentesting, der fandt sårbarheden.
Anbefaling
Følg anbefalingen, hvis I anvender Dovecot og Exim.