2017-0625: Dovecot: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff

Historie:

Version 1 (2017-04-11 16:26)

Neues Advisory

Version 2 (2017-04-12 11:21)

Canonical aktualisiert seine Sicherheitsmeldung und die damit veröffentlichten Sicherheitsupdates und gibt bekannt, dass die zuvor veröffentlichten Sicherheitsupdates eine Regression im Zusammenhang mit der Verwendung von 'dict'-Authentifizierungsdatenbanken eingeführt haben. Weitere Untersuchung hätten ergeben, dass Dovecot erst ab der Version 2.2.26 betroffen ist, während Canonical Sicherheitsupdates für die Versionen 2.2.22 beziehungsweise 2.2.24 veröffentlicht hatte. Die aktualisierten Sicherheitsupdates mache die zuvor durchgeführten Änderungen rückgängig.

Version 3 (2017-04-18 11:23)

Für Fedora 24, 25 und 26 stehen aktualisierte 'dovecot'-Pakete als Sicherheitsupdates zur Behebung der Schwachstelle im Status 'testing' bereit.

Version 4 (2017-05-12 11:56)

Für die SUSE Linux Enterprise Produkte Software Development Kit und Server in den Versionen 12 SP1 und 12 SP12 sowie den SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates auf die Dovecot Version 2.2.29.1 bereit, um die Denial-of-Service-Schwachstelle zu beheben.

Version 5 (2017-07-07 11:27)

Für openSUSE Leap 42.2 steht 'dovecot22' in der Version 2.2.30.2 als Sicherheitsupdate bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service-Angriff auf Dovecot ausführen, indem er einen speziell präparierten Benutzernamen zur Authentifizierung durch Dovecot verwendet.

Der Hersteller informiert über die Schwachstelle in Dovecot 2.2.10 bis einschließlich Version 2.2.28 und stellt die Version 2.2.29 als Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung. Für Ubuntu Linux 16.04 LTS und 16.10 sowie die Debian Distribution Jessie stehen Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-2669

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.