DFN-CERT

Advisory-Archiv

2018-0419: Dovecot: Mehrere Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-03-05 10:28)
Neues Advisory
Version 2 (2018-03-05 17:21)
Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates bereit, um die Schwachstellen CVE-2017-14461 und CVE-2017-15130 zu adressieren.
Version 3 (2018-04-03 14:13)
Canonical veröffentlicht jetzt auch für Ubuntu 12.04 ESM ein Sicherheitsupdate für Dovecot, um die Schwachstellen CVE-2017-14461 und CVE-2017-15130 zu beheben.
Version 4 (2018-04-18 10:34)
Für Fedora 26 steht ein Sicherheitsupdate auf die Dovecot Version 2.2.35 im Status 'testing' zur Behebung der Schwachstellen zur Verfügung. Das zuvor veröffentlichte Sicherheitsupdate FEDORA-2018-c967cee830 auf die Dovecot Version 2.2.34, mittels dessen die Schwachstellen erstmals behoben wurden, befindet sich mittlerweile im Status 'obsolete'. Die entsprechende Referenz wurde daher aus dieser Sicherheitsmeldung entfernt.
Version 5 (2018-05-02 19:57)
Für die SUSE Linux Enterprise 12 SP3 Produkte Software Development Kit und Server stehen Sicherheitsupdates für 'dovecot22' zur Verfügung, um die Schwachstelle CVE-2017-14461 zu beheben.
Version 6 (2018-05-03 14:21)
Für openSUSE Leap 42.3 wird ein Sicherheitsupdate für 'dovecot22' veröffentlicht, um die Schwachstelle CVE-2017-14461 zu beheben.
Version 7 (2018-09-06 16:55)
Für die Produkte SUSE OpenStack Cloud 7, SUSE Linux Enterprise Software Development Kit 12 SP3, verschiedene Versionen von SUSE Linux Enterprise Server sowie SUSE Enterprise Storage 4 werden Sicherheitsupdates des Pakets 'dovecot22' bereitgestellt, um die Schwachstelle CVE-2017-15130 zu schließen.
Version 8 (2018-10-19 13:42)
SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-15130 zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Mehrere Schwachstellen in Dovecot ermöglichen einem entfernten, nicht authentisierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe sowie das Ausspähen von Informationen.

Der Hersteller hat diese Schwachstellen in Dovecot 2.3.0.1 (Stable release) behoben. Auch Dvoecot 2.2.3.4 (Old stable release) behebt diese Schwachstellen und zusätzlich eine Reihe weiterer Fehler.

Für Fedora 26 und 27 stehen die Pakete 'dovecot-2.2.34-1.fc26' und 'dovecot-2.2.34-1.fc27' im Status 'testing' als Sicherheitsupdates zur Verfügung.

Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2017-14461

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff oder Ausspähen von Informationen

CVE-2017-15130

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

CVE-2017-15132

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.