DFN-CERT-2017-0625 Dovecot: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Debian]

DFN-CERT-2017-0625 Dovecot: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Dovecot >= 2.2.10
Dovecot <= 2.2.28 Betroffene Plattformen: Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Debian Linux 8.7 Jessie Ein entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service-Angriff auf Dovecot ausführen, indem er einen speziell präparierten Benutzernamen zur Authentifizierung durch Dovecot verwendet. Der Hersteller informiert über die Schwachstelle in Dovecot 2.2.10 bis einschließlich Version 2.2.28 und stellt die Version 2.2.29 als Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung. Für Ubuntu Linux 16.04 LTS und 16.10 sowie die Debian Distribution Jessie stehen Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-3828-1 https://www.debian.org/security/2017/dsa-3828

Patch:

Ubuntu Security Notice USN-3258-1

http://www.ubuntu.com/usn/usn-3258-1/

Patch:

[Dovecot-news] v2.2.29 released

https://www.dovecot.org/list/dovecot-news/2017-April/000341.html

CVE-2017-2669: Schwachstelle in Dovecot ermöglicht Denial-of-Service-Angriff

Aufgrund der doppelten Expansion von ‘%variables’ in Schlüsseln (Keys)
besteht die Möglichkeit für einen Denial-of-Service-Angriff, wenn der
Verzeichnisserver Dict als Authentifizierungsdatenbank (Authentication
PassDB) verwendet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0625/

Debian Security Advisory DSA-3828-1:
https://www.debian.org/security/2017/dsa-3828

Ubuntu Security Notice USN-3258-1:
http://www.ubuntu.com/usn/usn-3258-1/

[Dovecot-news] v2.2.29 released:
https://www.dovecot.org/list/dovecot-news/2017-April/000341.html

Schwachstelle CVE-2017-2669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2669

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben