1. Reverse Engineering >
  2. Sicherheitslücken >
  3. Dovecot bis 2.2.26 auth-policy Unset Crash Denial of Service

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Dovecot bis 2.2.26 auth-policy Unset Crash Denial of Service


Exploits vom | Direktlink: vuldb.com Nachrichten Bewertung

Eine Schwachstelle wurde in Dovecot bis 2.2.26 gefunden. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente auth-policy. Durch Beeinflussen des Arguments username durch Unset kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Verfügbarkeit.

Die Schwachstelle wurde am 17.02.2017 durch Aki Tuomi veröffentlicht. Auf dovecot.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.10.2016 als CVE-2016-8652 statt. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 96057 (Fedora 24 : 1:dovecot (2016-bb22a24d3d)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.

Ein Upgrade auf die Version 2.2.27 vermag dieses Problem zu beheben.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 94639) dokumentiert.

CVSSv3

Base Score: ≈4.3
Temp Score: ≈4.1
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈1.9 (CVSS2#AV:A/AC:M/Au:N/C:N/I:N/A:P)
Temp Score: ≈1.7 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Medium

CPE

Exploiting

Klasse: Denial of Service
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Nessus ID: 96057
Nessus Name: Fedora 24 : 1:dovecot (2016-bb22a24d3d)
Nessus File: fedora_2016-bb22a24d3d.nasl
Nessus Family: Fedora Local Security Checks
OpenVAS ID: 65339
OpenVAS Name: Fedora Update for dovecot FEDORA-2016-bb22a24d3d
OpenVAS File: gb_fedora_2016_bb22a24d3d_dovecot_fc24.nasl
OpenVAS Family: Fedora Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Dovecot 2.2.27

Timeline

12.10.2016 CVE zugewiesen
02.12.2016 SecurityFocus Eintrag zugewiesen
17.02.2017 Advisory veröffentlicht
17.02.2017 VulDB Eintrag erstellt
17.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: dovecot.org
Person: Aki Tuomi

CVE: CVE-2016-8652 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 94639 - Dovecot Auth Component CVE-2016-8652 Denial of Service Vulnerability

Eintrag

Erstellt: 17.02.2017
Eintrag: 74.8% komplett
...
https://vuldb.com/de/?id.97052

Externe Quelle mit kompletten Inhalt anzeigen


Zur Startseite von Team IT Security

Kommentiere zu Dovecot bis 2.2.26 auth-policy Unset Crash Denial of Service






➤ Weitere Beiträge von Team Security | IT Sicherheit