Cyrus SASL absturzgefährdet
Eine Schwachstelle in Cyrus SASL, einer Implementierung des Simple Authentication and Security Layer, lässt sich ausnutzen, um den Dienst zum Absturz zu bringen.
Eine Schwachstelle in Cyrus SASL, einer Implementierung des Simple Authentication and Security Layer, lässt sich ausnutzen, um den Dienst zum Absturz zu bringen – nähere Angaben dazu sind nicht verfügbar. Simple Authentication and Security Layer (SASL) ist ein generisches Framework, um eine sichere Authentifizierung für Protokolle zu ermöglichen, die solch eine Funktion von Hause aus nicht mitbringen. Beispielsweise benutzt Sendmail Cyrus SASL, um eine Authentifizierung für SMTP (SMTP AUTH) zu ermöglichen. Im vorliegenden Fall steckt der Fehler in einer Bibliothek, die zur Aushandlung von DIGEST-MD5-Hashes benutzt wird. Potenziell sind auch andere Produkte wie OpenLDAP und Postfix von der DoS-Lücke betroffen, sofern sie SASL einsetzen. Der Fehler findet sich in der Version cyrus-sasl-2.1.18. Der Hersteller empfiehlt ein Upgrade auf 2.1.21, um das Problem zu beseitigen.
Siehe dazu auch: (dab)
- Cyrus SASL DIGEST-MD5 Pre-Authentication Denial of Service, Fehlerbericht von musecurity
