📚 Dovecot bis 2.2.26 auth-policy Unset Crash Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Dovecot bis 2.2.26 gefunden. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Funktion der Komponente auth-policy. Durch Beeinflussen des Arguments username
durch Unset kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Verfügbarkeit.
Die Schwachstelle wurde am 17.02.2017 durch Aki Tuomi veröffentlicht. Auf dovecot.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 12.10.2016 als CVE-2016-8652 statt. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 96057 (Fedora 24 : 1:dovecot (2016-bb22a24d3d)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.
Ein Upgrade auf die Version 2.2.27 vermag dieses Problem zu beheben.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 94639) dokumentiert.
CVSSv3
Base Score: ≈4.3Temp Score: ≈4.1
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈1.9 (CVSS2#AV:A/AC:M/Au:N/C:N/I:N/A:P)Temp Score: ≈1.7 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Medium
CPE
- cpe:/a:dovecot:dovecot:2.2.0
- cpe:/a:dovecot:dovecot:2.2.1
- cpe:/a:dovecot:dovecot:2.2.2
- cpe:/a:dovecot:dovecot:2.2.3
- cpe:/a:dovecot:dovecot:2.2.4
- cpe:/a:dovecot:dovecot:2.2.5
- cpe:/a:dovecot:dovecot:2.2.6
- cpe:/a:dovecot:dovecot:2.2.7
- cpe:/a:dovecot:dovecot:2.2.8
- cpe:/a:dovecot:dovecot:2.2.9
- cpe:/a:dovecot:dovecot:2.2.10
- cpe:/a:dovecot:dovecot:2.2.11
- cpe:/a:dovecot:dovecot:2.2.12
- cpe:/a:dovecot:dovecot:2.2.13
- cpe:/a:dovecot:dovecot:2.2.14
- cpe:/a:dovecot:dovecot:2.2.15
- cpe:/a:dovecot:dovecot:2.2.16
- cpe:/a:dovecot:dovecot:2.2.17
- cpe:/a:dovecot:dovecot:2.2.18
- cpe:/a:dovecot:dovecot:2.2.19
- cpe:/a:dovecot:dovecot:2.2.20
- cpe:/a:dovecot:dovecot:2.2.21
- cpe:/a:dovecot:dovecot:2.2.22
- cpe:/a:dovecot:dovecot:2.2.23
- cpe:/a:dovecot:dovecot:2.2.24
- cpe:/a:dovecot:dovecot:2.2.25
- cpe:/a:dovecot:dovecot:2.2.26
Exploiting
Klasse: Denial of ServiceLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Nessus ID: 96057
Nessus Name: Fedora 24 : 1:dovecot (2016-bb22a24d3d)
Nessus File: fedora_2016-bb22a24d3d.nasl
Nessus Family: Fedora Local Security Checks
OpenVAS ID: 65339
OpenVAS Name: Fedora Update for dovecot FEDORA-2016-bb22a24d3d
OpenVAS File: gb_fedora_2016_bb22a24d3d_dovecot_fc24.nasl
OpenVAS Family: Fedora Local Security Checks
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Dovecot 2.2.27
Timeline
12.10.2016 CVE zugewiesen02.12.2016 SecurityFocus Eintrag zugewiesen
17.02.2017 Advisory veröffentlicht
17.02.2017 VulDB Eintrag erstellt
17.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: dovecot.orgPerson: Aki Tuomi
CVE: CVE-2016-8652 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityFocus: 94639 - Dovecot Auth Component CVE-2016-8652 Denial of Service Vulnerability
Eintrag
Erstellt: 17.02.2017Eintrag: 74.8% komplett
...