Admins, die Dovecot auf Mailserver einsetzen, sollten die Software-Suite zum Empfangen und Versenden von Mails zeitnah auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Server attackieren.
Wie aus einer Changelog-Meldung der Entwickler hervorgeht, wurden unter anderem zwei Sicherheitslücken geschlossen. Setzt ein authentifizierter Angreifer erfolgreich an der Lücke mit der Kennung CVE-2020-24386 an, könnte er unberechtigterweise auf Mails und Dateisysteminformationen zugreifen. Das soll bei der Nutzung von IMAP IDLE durch das Versenden von präparierten Befehlen möglich sein. Bislang ist der von der Schwachstelle ausgehende Bedrohungsgrad unbekannt.
Die zweite Lücke (CVE-2020-12100) ist mit "hoch" eingestuft. Hier könnten entfernte Angreifer durch das Versenden von mit bestimmten MIME-Inhalten versehenen Mails einen DoS-Zustand herbeiführen. Die Entwickler geben an, dass die Dovecot-Version 2.3.13 gegen diese beiden Schwachstellen abgesichert ist. Alle vorigen Ausgaben sollen verwundbar sein.
Quelle: Angreifer könnten Mailserver mit Dovecot lahmlegen und Mails lesen | heise online