2019-1792: Dovecot: Eine Schwachstelle ermöglicht u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2019-08-28 19:27)
- Neues Advisory
- Version 2 (2019-08-28 19:35)
- Canonical stellt für Ubuntu 14.04 ESM und Ubuntu 12.04 ESM die zu USN-4110-1 korrespondierenden Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.
- Version 3 (2019-08-29 13:44)
- USN-4110-1 und USN-4110-2 wurden zur Behebung der Schwachstelle veröffentlicht. Hiermit wurde allerdings eine Regression eingeführt, welche eine fehlerhafte Prüfung zur Folge hat. USN-4110-3 und USN-4110-4 beheben die Regression.
- Version 4 (2019-08-29 17:08)
- Die Schwachstelle wurde mit Dovecot Release 2.3.7.2 behoben. Für Fedora 29, 30, 31 und 32 stehen Sicherheitsupdates auf diese Version bereit, welche sich derzeit noch im Status 'pending' befinden. Für die alte stabile Distribution Debian Stretch (9.9) und die stabile Distribution Debian Buster stehen Sicherheitsupdates für Dovecot auf Version 1:2.2.27-3+deb9u5 bzw. 1:2.3.4.1-5+deb10u1 zur Verfügung.
- Version 5 (2019-08-30 12:43)
- Für Debian 8 Jessie steht ein Sicherheitsupdate für Dovecot auf Version 1:2.2.13-12~deb8u7 zur Verfügung.
- Version 6 (2019-09-20 12:06)
- Für Red Hat Enterprise Linux 8 und Red Hat CodeReady Linux Builder for 8 stehen Sicherheitsupdates für Dovecot zur Behebung der Schwachstelle zur Verfügung.
- Version 7 (2019-09-20 15:48)
- Red Hat stellt jetzt auch für die Red Hat Enterprise Linux 7 Produkte Server und Workstation sowie Server AUS, EUS und TUS 7.7 Sicherheitsupdates für 'dovecot' bereit.
- Version 8 (2019-09-23 13:21)
- Für Oracle Linux 7 steht ein Sicherheitsupdate von 'dovecot' in der Version '1:2.2.36-3.1' zur Verfügung, um die Schwachstelle zu schließen
- Version 9 (2019-09-24 14:06)
- Red Hat stellt für die Red Hat Enterprise Linux 6 Produkte Server und Workstation Sicherheitsupdates für 'dovecot' bereit. Für Oracle Linux 6 steht ein Sicherheitsupdate von 'dovecot' in der Version '1:2.0.9-22.1' zur Verfügung, um die Schwachstelle zu schließen
- Version 10 (2019-09-24 14:13)
- Für Oracle Linux 8 steht ein Sicherheitsupdate von 'dovecot' in der Version '1:2.2.36-5.1' zur Verfügung, um die Schwachstelle zu schließen
- Version 11 (2019-09-25 16:54)
- Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5 und 12 SP4, Server for SAP 12 SP1, 12 SP2 und 12 SP3, Server 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 BCL, 12 SP3 LTSS, 12 SP4 und 12 SP5 sowie für SUSE OpenStack Cloud 7 und 8, SUSE OpenStack Cloud Crowbar 8 und SUSE Enterprise Storage 4 und 5 stehen Sicherheitsupdates für 'dovecot22' bereit, um die Schwachstelle zu beheben.
Betroffene Software
Server
Betroffene Plattformen
Netzwerk
Cloud
Linux
Oracle
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen.
Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 19.04 Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.
Schwachstellen:
CVE-2019-11500
Schwachstelle in Dovecot ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.