2021-1341: Dovecot: Mehrere Schwachstellen ermöglichen u. a. einen Man-in-the-Middle (MitM)-Angriff

Historie:

Version 1 (2021-06-22 16:49)

Neues Advisory

Version 2 (2021-06-23 10:29)

Für SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, die SUSE Linux Enterprise Produkte Server 15 SAP, 15 LTSS und 15 SP1 SAP / BCL / LTSS, High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, Module for Server Applications 15 SP2 und 15 SP3, SUSE Enterprise Storage 6 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'dovecot23' bereit, um die Schwachstellen zu beheben.

Version 3 (2021-06-23 16:24)

Der Hersteller informiert, dass die Schwachstelle CVE-2020-28200 ebenfalls in Version 2.3.15 behoben wurde. Ein Angreifer mit niedrigen Privilegien kann diese Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Version 4 (2021-06-25 15:13)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'dovecot23' bereit, um die beiden Schwachstellen zu beheben.

Version 5 (2021-06-28 12:16)

Für Fedora 33 und 34 stehen Sicherheitsupdates für 'dovecot' auf Version 2.3.15 im Status 'testing' zur Verfügung.

Version 6 (2021-07-14 16:40)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'dovecot23' zur Verfügung, um die Schwachstellen CVE-2021-29157 und CVE-2021-33515 zu beheben.

Version 7 (2021-09-01 09:09)

Für openSUSE Leap 15.3, SUSE Manager Server, Retail Branch Server und Proxy jeweils in Version 4.0, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3 sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen erneut Sicherheitsupdates für 'dovecot23' bereit, um die Schwachstellen zu beheben.

Version 8 (2021-09-06 10:01)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'dovecot23' auf die Dovecot Version 2.3.15 zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle aus der Ferne ausnutzen, um einen Man-in-the-Middle (MitM)-Angriff durchzuführen und dadurch beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Dovecot informiert über die Schwachstellen und veröffentlicht Dovecot 2.3.15 zu deren Behebung. Canonical stellt für Ubuntu 21.04, Ubuntu 20.10 und Ubuntu 20.04 LTS ebenfalls Sicherheitsupdates für Dovecot bereit.

Schwachstellen:

CVE-2020-28200

Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

CVE-2021-29157

Schwachstelle in Dovecot ermöglicht Ausspähen von Informationen

CVE-2021-33515

Schwachstelle in Dovecot ermöglicht Man-in-the-Middle-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.