martes, 28 de abril de 2015

Denegación de servicio remota en Dovecot

Hanno Böck, un periodista freelance especializado en seguridad informática, ha descubierto una vulnerabilidad en el servidor de correo Dovecot. Concretamente, se ven afectados los servicios "imap-login" y "pop3-login", usados para manejar inicios de sesión en conexiones IMAP y POP3 respectivamente.

Dovecot es un proyecto open source que pone especial énfasis en la seguridad, tanto en el diseño como en la implementación, y de acuerdo con openemailsurvey.org, está presente en 2.9 millones de servidores de correo a nivel mundial, representando un 57% del total (datos de julio de 2014). El autor principal, Timo Sirainen, lleva desde 2006 ofreciendo una recompensa de 1.000 euros de su propio bolsillo a la primera persona que reporte un fallo de seguridad.

Un atacante remoto podría causar una denegación de servicio, ya que estos servicios podrían dejar de funcionar, si, por ejemplo, un cliente intenta conectar especificando que sólo soporta SSLv3 y el servidor está configurado para no permitir conexiones SSLv3.

Esta vulnerabilidad se debe al manejo incorrecto de un error cuando se inicia la negociación de una conexión TLS, que lleva a intentar terminar la negociación antes de haberla empezado. Esto ocasiona que las llamadas subyacentes a la librería OpenSSL provoquen un estado inválido que desemboca en la terminación del proceso servidor. Se le ha asignado el CVE-2015-3420 por parte de MITRE, y existe un parche provisional disponible en http://dovecot.org/tmp/diff

Más información:

Dovecot

CVE request: Dovecot remote DoS on TLS connections

[patch] TLS Handshake failures can crash imap-login

Login processes

[Dovecot] 1.0 beta1 released


Carlos Ledesma



No hay comentarios:

Publicar un comentario en la entrada