UPDATE: DFN-CERT-2017-0625 Dovecot: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-0625 Dovecot: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (07.07.2017):
Für openSUSE Leap 42.2 steht ‘dovecot22’ in der Version 2.2.30.2 als
Sicherheitsupdate bereit.
Version 4 (12.05.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
in den Versionen 12 SP1 und 12 SP12 sowie den SUSE Linux Enterprise Server
for Raspberry Pi 12 SP2 stehen Sicherheitsupdates auf die Dovecot Version
2.2.29.1 bereit, um die Denial-of-Service-Schwachstelle zu beheben.
Version 3 (18.04.2017):
Für Fedora 24, 25 und 26 stehen aktualisierte ‘dovecot’-Pakete als
Sicherheitsupdates zur Behebung der Schwachstelle im Status ‘testing’
bereit.
Version 2 (12.04.2017):
Canonical aktualisiert seine Sicherheitsmeldung und die damit
veröffentlichten Sicherheitsupdates und gibt bekannt, dass die zuvor
veröffentlichten Sicherheitsupdates eine Regression im Zusammenhang mit
der Verwendung von ‘dict’-Authentifizierungsdatenbanken eingeführt haben.
Weitere Untersuchung hätten ergeben, dass Dovecot erst ab der Version
2.2.26 betroffen ist, während Canonical Sicherheitsupdates für die
Versionen 2.2.22 beziehungsweise 2.2.24 veröffentlicht hatte. Die
aktualisierten Sicherheitsupdates mache die zuvor durchgeführten
Änderungen rückgängig.
Version 1 (11.04.2017):
Neues Advisory

Betroffene Software:

Dovecot >= 2.2.26
Dovecot <= 2.2.28 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Debian Linux 8.7 Jessie openSUSE Leap 42.2 SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service-Angriff auf Dovecot ausführen, indem er einen speziell präparierten Benutzernamen zur Authentifizierung durch Dovecot verwendet. Der Hersteller informiert über die Schwachstelle in Dovecot 2.2.10 bis einschließlich Version 2.2.28 und stellt die Version 2.2.29 als Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung. Für Ubuntu Linux 16.04 LTS und 16.10 sowie die Debian Distribution Jessie stehen Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-3828-1 https://www.debian.org/security/2017/dsa-3828

Patch:

Ubuntu Security Notice USN-3258-1

http://www.ubuntu.com/usn/usn-3258-1/

Patch:

[Dovecot-news] v2.2.29 released

https://www.dovecot.org/list/dovecot-news/2017-April/000341.html

Patch:

Ubuntu Security Notice USN-3258-2 (Regression Fix)

http://www.ubuntu.com/usn/usn-3258-2/

Patch:

Fedora Security Update FEDORA-2017-6ef28e38d6 (dovecot-2.2.29.1-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-6ef28e38d6

Patch:

Fedora Security Update FEDORA-2017-da4ed58fd5 (dovecot-2.2.29.1-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-da4ed58fd5

Patch:

Fedora Security Update FEDORA-2017-e8b639c286 (dovecot-2.2.29.1-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8b639c286

Patch:

SUSE Security Update SUSE-SU-2017:1250-1

http://lists.suse.com/pipermail/sle-security-updates/2017-May/002859.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1807-1

http://lists.opensuse.org/opensuse-updates/2017-07/msg00036.html

CVE-2017-2669: Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

Aufgrund der doppelten Expansion von ‘%variables’ in Schlüsseln (Keys)
besteht die Möglichkeit für einen Denial-of-Service-Angriff, wenn der
Verzeichnisserver Dict als Authentifizierungsdatenbank (Authentication
PassDB) verwendet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0625/

Debian Security Advisory DSA-3828-1:
https://www.debian.org/security/2017/dsa-3828

Ubuntu Security Notice USN-3258-1:
http://www.ubuntu.com/usn/usn-3258-1/

[Dovecot-news] v2.2.29 released:
https://www.dovecot.org/list/dovecot-news/2017-April/000341.html

Schwachstelle CVE-2017-2669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2669

Ubuntu Security Notice USN-3258-2 (Regression Fix):
http://www.ubuntu.com/usn/usn-3258-2/

Fedora Security Update FEDORA-2017-6ef28e38d6 (dovecot-2.2.29.1-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6ef28e38d6

Fedora Security Update FEDORA-2017-da4ed58fd5 (dovecot-2.2.29.1-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-da4ed58fd5

Fedora Security Update FEDORA-2017-e8b639c286 (dovecot-2.2.29.1-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8b639c286

SUSE Security Update SUSE-SU-2017:1250-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002859.html

openSUSE Security Update openSUSE-SU-2017:1807-1:
http://lists.opensuse.org/opensuse-updates/2017-07/msg00036.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben