Dovecot aus der Ferne angreifbar

DoS Angriffe auf aktuelle Versionen von Dovecot möglich

Präparierte Emails mit zu großen Headern können dazu führen, dass sich der Parser verschluckt und in der Konsequenz der Speicher vollläuft. Eine weitere Möglichkeit besteht im Spammen von Adress-Headern, die ebenfalls zu einem DoS führen können.

Die Probleme werden unter CVE-2024-23185 und CVE-2024-23184 geführt. 

Die abgesicherte Version ist 2.3.21.

Das Problem wird auf vielen Installationen vermutlich nicht zu direkten Problemen führen, da viele MTAs die Größe ganz grundsätzlich einschränken und damit indirekt verhindern, dass das Problem ausgenutzt werden kann.

Wer akut nicht updaten kann sollte als entsprechend schauen, dass der MTA hier entsprechend limitiert.