🇺🇸 English:

Hello all,

We´ve received an important tip about a critical security vulnerability in mailcow IMAPSYNC (again…) it is pretty similar to the first one.

With this update we have disabled the SyncJob ACL for new users by default. What does this mean? Well, an administrator now has to set the ACLs for brand new users once in order for them to use the SyncJobs again.

All existing users can still use the SyncJobs.

The exploit is fixed with the 2022-06a update but also for existing users.

Right now there is no official CVE Number but once there is one we´ll post the Link in here.

It is strongly recommended to install the update as soon as possible to prevent exploitation.

As always please take a look at the GitHub Release: https://github.com/mailcow/mailcow-dockerized/releases/tag/2022-06a


🇩🇪 Deutsch

Hallo zusammen,

wir haben einen wichtigen Hinweis auf eine kritische Sicherheitslücke in mailcow IMAPSYNC erhalten (mal wieder…) es ist ziemlich ähnlich wie beim ersten Mal.

Mit diesem Update haben wir die SyncJob ACL für neue User standardmäßig deaktiviert. Was bedeutet das? Nun, ein Administrator muss nun die ACLs für brandneue Benutzer einmalig setzen, damit dieser die SyncJobs wieder nutzen kann.

Alle bestehenden User können nach wie vor die SyncJobs nutzen.

Der Exploit ist mit dem 2022-06a Update aber auch bei bestehenden Usern gefixt

Im Moment gibt es noch keine offizielle CVE-Nummer, aber sobald es eine gibt, werden wir den Link hier posten.

Es wird dringend empfohlen, das Update so schnell wie möglich zu installieren, um eine Ausnutzung zu verhindern.

Wie immer werft bitte auch einen Blick auf den GitHub Release: https://github.com/mailcow/mailcow-dockerized/releases/tag/2022-06a