U radu programskog paketa Dovecot uočena je nova sigurnsona ranjivost. Radi se o besplatnom poslužitelju elektroničke pošte koji podržava protokole IMAP i POP3. Uočena ranjivost javlja se kao posljedica nepravilnog rada datoteke src/lib-mail/message-header-parser.c. Napadači ranjivost mogu iskoristiti za izvođenje DoS (eng. Denial of Service) napada te za rušenje sustava pomoću posebno oblikovanih poruka elektroničke pošte. Svim se korisnicima savjetuje nadogradnja na nove, ispravljene, inačice.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-06-030
Naslov: Ranjivost programskog paketa Dovecot
Datum: 2011-06-06
OS: Linux/UNIX, Windows, BSD, MAc OS
Programski paket: Dovecot
Tip sigurnosnog problema: DoS napad
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Dovecot uocena je sigurnosna ranjivost. Dovecot je posluzitelj elektronicke poste otvorenog koda koji podrzava protokole IMAP i POP3. 

Njegove najznacajnije karakteristike su:

- brz je i jednostavan za postavljanje,
- koristi vrlo malo memorije,
- radi s NFS datotecnim sustavom, sto omogucuje izmjenu sanducica i njihovih indeksa 
  na vise racunala istovremeno,
- podrzava module za poboljsanje funkcionalnosti, samooptimirajuce indekse te
  mnoge nacine autentikacije ukljucujuci i razne baze podataka,
- prosiriv je, 
- omogucuje dodavanje vlastitih podataka, odredjenih dodataka (eng. plugins) 
  te dodavanje podrske za nove mail spremnike i dr. 

Vise informacija o navedenom programskom paketu dostupno je na sljedecoj web adresi:

http://www.dovecot.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

U radu programskog paketa Dovecot uocen je novi sigurnosni nedostatak koji napadacima omogucuje izvodjenje napada uskracivanjem usluga (eng. Denial of Service).

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na nove inacice 1.2.17 i 2.0.13.  

-------------------------------------------------------------------------------

[4]  Analiza

Ranjivost se javlja zbog nepravilnog rada datoteke "src/lib-mail/message-header-parser.c". Spomenuta daototeka nije ispravno upotrebljavala ' ' (NUL) znakove u nazivima zaglavlja. Zlonamjerni napadaci propust mogu iskoristiti za rusenje sustava pomocu posebno oblikovanih zaglavlja koja sadrze NUL znakove.

Uoceni nedostatci su potvrdjeni u inacicama 1.2.16 i 2.0.12.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je proizvodjac, a tekstovi izvorne preporuke nalaze 
se na sljedecim web adresama:

http://dovecot.org/pipermail/dovecot/2011-May/059086.html i

http://dovecot.org/pipermail/dovecot/2011-May/059085.html.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________