DFN-CERT

Advisory-Archiv

2020-1784: Dovecot: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2020-08-13 15:18)
Neues Advisory
Version 2 (2020-08-17 13:05)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'dovecot' auf Version 1:2.2.27-3+deb9u6 zur Behebung der Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 zur Verfügung.
Version 3 (2020-08-17 18:39)
Canonical stellt für Ubuntu 14.04 ESM das zu USN-4456-1 korrespondierende Sicherheitsupdate für 'dovecot' bereit, um die Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 zu beheben.
Version 4 (2020-08-18 19:02)
Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, High Performance Computing 15 LTSS und 15 ESPOS sowie Module for Server Applications 15 SP1 stehen Sicherheitsupdates für 'dovecot23' zur Behebung der Schwachstellen CVE-2020-12673 und CVE-2020-12674 bereit.
Version 5 (2020-08-19 18:02)
Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9, die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 sowie für SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'dovecot22' zur Behebung der Schwachstellen CVE-2020-12673 und CVE-2020-12674 bereit.
Version 6 (2020-08-24 09:52)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'dovecot23' zur Behebung der Schwachstellen CVE-2020-12673 und CVE-2020-12674 bereit.
Version 7 (2020-08-27 10:30)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'dovecot23' zur Behebung der Schwachstellen CVE-2020-12673 und CVE-2020-12674 bereit. Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'dovecot-2.3.11.3-4.fc31' und 'dovecot-2.3.11.3-4.fc32' zur Behebung der hier referenzierten Schwachstellen zur Verfügung, welche sich derzeit noch im Status 'pending' befinden.
Version 8 (2020-09-04 12:54)
Für Red Hat Enterprise Linux 7 (Server, Workstation) und Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates bereit, womit die Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 adressiert werden.
Version 9 (2020-09-09 18:31)
Für Fedora 32 wurde das Sicherheitsupdate unter der bestehenden Referenz auf Paket 'dovecot-2.3.11.3-5.fc32' aktualisiert, welches sich im Status 'testing' befindet.
Version 10 (2020-09-11 14:08)
Für Red Hat Enterprise Linux for x86_64 8, Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.2 sowie Red Hat Enterprise Linux Server - AUS 8.2 und TUS 8.2 stehen Sicherheitsupdates für 'dovecot' bereit, um die Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 zur beheben. Für Oracle Linux 8 (aarch64, x86_64) stehen entsprechende Sicherheitsupdates zur Verfügung.
Version 11 (2020-09-15 11:16)
Weitere Sicherheitsupdates zur Behebung der Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 in 'dovecot' stehen unter anderem für Red Hat Enterprise Linux und Red Hat CodeReady Linux Builder in Version 8.1 mit Extended Update Support (EUS) bereit.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe.

Dovecot informiert über die Schwachstellen und veröffentlicht Dovecot 2.3.11.3 zu deren Behebung. Dovecot führt dabei auch CVE-2020-10967 auf, welche bereits mit Release 2.3.10.1 adressiert wurde.

Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates für 'dovecot' bereit, um die Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 zu beheben.

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'dovecot' auf Version 1:2.3.4.1-5+deb10u3 zur Behebung der Schwachstellen CVE-2020-12100, CVE-2020-12673 und CVE-2020-12674 zur Verfügung.

Schwachstellen:

CVE-2020-10967

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

CVE-2020-12100

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

CVE-2020-12673

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

CVE-2020-12674

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.