Sicherheitspatch: Angreifer können Dovecot-Mail-Server lahmlegen
Dovecot-IMAP-Server können sich an präparierten E-Mails verschlucken und in einem DoS-Zustand enden.
(Bild: Michael Traitov/Shutterstock.com)
Angreifer können an zwei Schwachstellen im Dovecot-IMAP-Server ansetzen und Systeme mittels DoS-Attacken aus dem Verkehr ziehen. Einen dagegen geschützte Version steht zum Download bereit.
E-Mail-Server nicht erreichbar
Die Attacken können Angreifer über präparierte Mails auslösen. Sehr große Header erzeugen beim E-Mail-Parsing Fehler, sodass viel Speicher beansprucht wird und Server in einen DoS-Zustand verfallen (CVE-2024-23185 „hoch“).
Die zweite Lücke (CVE-2024-23184 „mittel“) lässt sich über eine große Anzahl von Adress-Headern (To, Cc, …) triggern. Auch das führt zu einem DoS-Zustand. Von beiden Lücken sind den Entwicklern zufolge die Versionsstränge 2.2 und 2.3 bedroht. Abhilfe schafft die Ausgabe 2.3.21.1. Bislang gibt es keine Angaben zu laufenden Attacken.
(des)
