2019-0699: Dovecot: Zwei Schwachstellen ermöglichen u. a. das Erlangen von Root-Rechten

Historie:

Version 1 (2019-04-09 11:49)

Neues Advisory

Version 2 (2019-04-17 15:12)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'dovecot22' zur Behebung der Schwachstellen bereit.

Version 3 (2020-04-01 18:43)

Für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop 7 stehen Sicherheitsupdates für 'dovecot' zur Behebung der Schwachstellen bereit.

Version 4 (2020-04-14 12:20)

Oracle stellt für Oracle Linux 7 (aarch64, x86_64) Sicherheitsupdates zur Verfügung, mit denen die Schwachstellen in 'dovecot ' behoben werden.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein lokaler Angreifer mit üblichen Benutzerrechten kann eine Schwachstelle in Dovecot ausnutzen, um eine Privilegieneskalation auf 'root' durchzuführen oder beliebigen Programmcode mit den Berechtigungen des Dovecot-Benutzers auszuführen. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten, der ein gültiges Zertifikat mit einem leeren Feld für den Benutzernamen besitzt, sich als ein anderer Benutzer auszugeben.

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS, 12 SP2 BCL, 12 SP3 und 12 SP4, Software Development Kit 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'dovecot22' bereit, um die beiden Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Schwachstellen:

CVE-2019-3814

Schwachstelle in Dovecot ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-7524

Schwachstelle in Dovecot ermöglicht Erlangen von Root-Rechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.