Ipswitch: Bugtraq-Exploit zu IMail ist ein Hoax

Software-Anbieter Ipswitch hält eine in der Security-Mailing-Liste Bugtraq beschriebene Lücke im E-Mail-Server Ipswitch IMail für einen Hoax. Den eigenen Entwicklern sei es nicht gelungen, den im Forum detailliert beschriebenen vermeintlichen Buffer Overflow nachzuvollziehen.

Während Bugtraq die Versionen IMail 7.11 und frühere Versionen für anfällig hält, wie in einem bereits am 26. Juli veröffentlichten Beitrag nachzulesen ist, kann Ipswitch keinen Fehler finden. Den Patch (impatch.zip), der bei Bugtraq ebenfalls angeboten wird, sollte man nicht einspielen, teilte der Hersteller mit.

Nach Erkenntnis der Ipswitch-Entwickler verändert der Patch die ausführbare Datei des für das Webmessaging zuständigen Moduls. Benutzern, die den Patch bereits eingespielt haben, empfehle man, IMail erneut zu installieren, um das Webmessaging Modul wieder mit dem Original zu ersetzen. Scheinbar kommen Benutzer um die Neuinstallation tatsächlich nicht herum: "Da das aktuelle Update 7.11 von Ipswitch die betroffene Datei nicht enthält, genügt die Anwendung dieses Updates nicht, um den erfolgten Patch rückgängig zu machen" heißt es. Die Erklärung von Ipswitch können Sie hier nachlesen. (uba)