Heise Security meldete Sicherheitsprobleme des Webmailers GMX im IMAP-Betrieb.
Dem Artikel zu Folge erhielten plötzlich GMX-Kunden duzende von fremden Mails, bei denen es sich nicht um Spam handelte. Nach der nächsten Synchronisation sei die fremde Post dann aber wieder verschwunden.
Heise berichtet über einen "Selbsttest", bei dem sie mit einem Pocket-PC über das IMAP-Protokoll auf ein GMS-Konto zugegriffen haben und plötzlich 64 fremde Nachrichten erhielten. Heise hatte dadurch nicht nur Zugriff auf ein fremdes Nachrichten-Archiv, sie konnten auch sämtliche Nachrichten einsehen und so gar die Testmail problemlos löschen.
Nachdem Heise GMX informierte, wurde mit Hilfe der Heise Daten der Fehler analysiert und zwischenzeitlich behoben. Nach Darstellung von GMX wäre ein sehr seltener Fehler in der selbst entwickelten IMAP-Serversoftware aufgetreten. Hierbei waren abgestürzte Prozesse auf dem Mailservern Ursache des Problems. Jeder Prozess hat nach den Angaben von GMX eine Port-Nummer, an die während der IMAP-Session die Kundennummer gekoppelt ist. Stürzt dieser Prozess ab, löschte der Server diese Bindung nicht.
