Gemäß Implementierungen von IMAP auf einem
UNIX System muß der IMAP-Server mit Root-Privilegien arbeiten, um
Zugang zu den Mailboxen ( z.B. Inbox) zu besitzen und einige Dateien anstelle
des Benutzers bearbeiten/verändern zu können. Nachdem ein Benutzer
eingeloggt ist, wird jedoch ein Prozeß mit den Rechten des Benutzers
erzeugt.
Bei diesem Einlog-Prozeß, dh. die Art und Weise,
wie dieser Vorgang durchgeführt wird, gibt es bei IMAP-Implementierungen
der Universität von Washington eine Sicherheitslücke.
Diese Sicherheitslücke kann dazu genutzt werden,
einen privilegierten Zugang zum System zu bekommen. Durch die Erzwingung
eines ``Buffer-Overflow'' können bei unsicheren IMAP-Servern auf dem
System Root-Rechte erlanget und somit willkürliche Anweisungen durchgeführt
werden.
Da nur ältere Versionen der IMAP-Server-Implementierungen
der Universität von Washington von dieser Sicherheitslücke betroffen
sind, ist es angebracht, vorsorglich eine neuere Version von IMAP zu installieren,
die diese Sicherheitslücke unterbindet oder bis zu diesem Zeitpunkt
zumindest bestimmte Dienste einzuschränken. (siehe hierzu das CERT
Advisory CA-97.09)