Οι χρήστες του Fedora Linux 43 που αναβάθμισαν στον πιο πρόσφατο Dovecot mail server ανακάλυψαν κάτι μάλλον ανησυχητικό: ορισμένες παλαιότερες ρυθμίσεις του Microsoft Outlook αγνοούσαν σιωπηλά τις ρυθμίσεις SSL/TLS για συνδέσεις email POP3 για χρόνια. 
Σύμφωνα με μια δημοσίευση στο blog της κοινότητας του Fedora, οι επηρεαζόμενοι χρήστες του Outlook φέρεται να συνέχιζαν να χρησιμοποιούν μη ασφαλείς συνδέσεις στην θύρα 110, ακόμη και αν η κρυπτογράφηση ήταν ενεργοποιημένη στις ρυθμίσεις της εφαρμογής.
Το πρόβλημα εμφανίστηκε όταν το Dovecot 2.4 απενεργοποίησε τον έλεγχο ταυτότητας απλού κειμένου (plaintext authentication) σε μη ασφαλείς συνδέσεις από προεπιλογή, κάτι που έκανε τους χρήστες του Outlook να χάσουν ξαφνικά την πρόσβαση στο mailbox τους μετά την αναβάθμιση στο Fedora 43.
Η αναφορά μας δείχνει ότι η συμπεριφορά μπορεί να χρονολογείται από το Outlook 2007, αν και οι σύγχρονες εκδόσεις του Outlook δεν δοκιμάστηκαν πλήρως.
Οι διαχειριστές του Fedora αναφέρουν ότι το πρόβλημα θα μπορούσε να περιορίζεται σε παλαιότερες ρυθμίσεις λογαριασμών και όχι στις τρέχουσες εκδόσεις του ίδιου του Outlook.
Ωστόσο, η ανακάλυψη έχει πυροδοτήσει συζητήσεις μεταξύ των διαχειριστών του Linux και των ατόμων ασφαλείας, επειδή πολλοί χρήστες πιθανότατα υπέθεταν ότι τα email τους ήταν κρυπτογραφημένα απλώς επειδή το Outlook δήλωνε ότι το SSL/TLS ήταν ενεργοποιημένο.
Το περιστατικό υπογραμμίζει επίσης πώς οι αυστηρότερες προεπιλογές στη σύγχρονη υποδομή ανοιχτού κώδικα μπορούν να εκθέσουν αρχαία προβλήματα και αμφισβητήσιμες συμπεριφορές που επιβίωσαν σιωπηλά για δεκαετίες.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
