Hanno
Böck, un periodista freelance especializado en seguridad informática, ha descubierto una vulnerabilidad
en el servidor de correo Dovecot.
Concretamente, se ven afectados los servicios "imap-login" y "pop3-login",
usados para manejar inicios de sesión en conexiones IMAP y POP3
respectivamente.
Dovecot es un proyecto open
source que pone especial énfasis en la seguridad, tanto en el diseño como en la
implementación, y de acuerdo con openemailsurvey.org,
está presente en 2.9 millones de servidores de correo a nivel mundial,
representando un 57% del total (datos de julio de 2014). El autor principal,
Timo Sirainen, lleva desde 2006 ofreciendo una recompensa de 1.000 euros de su
propio bolsillo a la primera persona que reporte un fallo de seguridad.
Un atacante remoto podría causar
una denegación de servicio, ya que estos servicios podrían dejar de funcionar,
si, por ejemplo, un cliente intenta conectar especificando que sólo soporta
SSLv3 y el servidor está configurado para no permitir conexiones SSLv3.
Esta vulnerabilidad se debe al
manejo incorrecto de un error cuando se inicia la negociación de una conexión
TLS, que lleva a intentar terminar la negociación antes de haberla empezado.
Esto ocasiona que las llamadas subyacentes a la librería OpenSSL provoquen un
estado inválido que desemboca en la terminación del proceso servidor. Se le ha asignado
el CVE-2015-3420 por parte de MITRE, y existe un parche provisional disponible
en http://dovecot.org/tmp/diff
Más información:
Dovecot
CVE request: Dovecot remote DoS on TLS
connections
[patch] TLS Handshake failures can crash
imap-login
Login processes
[Dovecot] 1.0 beta1 released
Carlos Ledesma