CVSS: 5.9EPSS: 2%CPEs: 4EXPL: 0CVE-2015-3420
https://notcve.org/view.php?id=CVE-2015-3420
The ssl-proxy-openssl.c function in Dovecot before 2.2.17, when SSLv3 is disabled, allow remote attackers to cause a denial of service (login process crash) via vectors related to handshake failures. La función ssl-proxy-openssl.c en Dovecot en versiones anteriores a la 2.2.17, cuando SSLv3 está deshabilitado, permite que atacantes remotos provoquen una denegación de servicio (cierre inesperado del proceso de inicio de sesión) mediante vectores relacionados con errores de negociación de protocolos. • http://lists.fedoraproject.org/pipermail/package-announce/2015-May/157030.html http://lists.fedoraproject.org/pipermail/package-announce/2015-May/158236.html http://lists.fedoraproject.org/pipermail/package-announce/2015-May/158261.html http://www.openwall.com/lists/oss-security/2015/04/27/1 http://www.openwall.com/lists/oss-security/2015/04/28/4 http://www.securityfocus.com/bid/74335 https://bugzilla.redhat.com/show_bug.cgi?id=1216057 https://dovecot.org/pipermail/dovecot-news/201 • CWE-295: Improper Certificate Validation •
CVSS: 5.9EPSS: 1%CPEs: 1EXPL: 0CVE-2016-8652
https://notcve.org/view.php?id=CVE-2016-8652
The auth component in Dovecot before 2.2.27, when auth-policy is configured, allows a remote attackers to cause a denial of service (crash) by aborting authentication without setting a username. El componente de autenticación en Dovecot en versiones anteriores a 2.2.27, cuando la política de autenticación es configurada, permite a atacantes remotos provocar una denegación de servicio (caída) abortando la autenticación sin establecer un nombre de usuario. • http://dovecot.org/pipermail/dovecot-news/2016-December/000333.html http://www.openwall.com/lists/oss-security/2016/12/02/4 http://www.openwall.com/lists/oss-security/2016/12/05/12 http://www.securityfocus.com/bid/94639 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 1%CPEs: 9EXPL: 0CVE-2013-2111
https://notcve.org/view.php?id=CVE-2013-2111
The IMAP functionality in Dovecot before 2.2.2 allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via invalid APPEND parameters. La funcionalidad IMAP en Dovecot anterior a 2.2.2 permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo de CPU) a través de parámetros APPEND inválidos. • http://secunia.com/advisories/53492 http://www.dovecot.org/list/dovecot-news/2013-May/000255.html http://www.openwall.com/lists/oss-security/2013/05/24/1 http://www.securitytracker.com/id/1028585 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 9%CPEs: 82EXPL: 0CVE-2014-3430 – dovecot: denial of service through maxxing out SSL connections
https://notcve.org/view.php?id=CVE-2014-3430
Dovecot 1.1 before 2.2.13 and dovecot-ee before 2.1.7.7 and 2.2.x before 2.2.12.12 does not properly close old connections, which allows remote attackers to cause a denial of service (resource consumption) via an incomplete SSL/TLS handshake for an IMAP/POP3 connection. Dovecot 1.1 anterior a 2.2.13 y dovecot-ee anterior a 2.1.7.7 y 2.2.x anterior a 2.2.12.12 no cierra debidamente conexiones antiguas, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una negociación SSL/TLS incompleta para una conexión IMAP/POP3. • http://advisories.mageia.org/MGASA-2014-0223.html http://dovecot.org/pipermail/dovecot-news/2014-May/000273.html http://linux.oracle.com/errata/ELSA-2014-0790.html http://permalink.gmane.org/gmane.mail.imap.dovecot/77499 http://rhn.redhat.com/errata/RHSA-2014-0790.html http://secunia.com/advisories/59051 http://secunia.com/advisories/59537 http://secunia.com/advisories/59552 http://www.debian.org/security/2014/dsa-2954 http://www.mandriva.com/security/advisories?name=MDVSA& • CWE-287: Improper Authentication CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.8EPSS: 0%CPEs: 51EXPL: 0CVE-2013-6171
https://notcve.org/view.php?id=CVE-2013-6171
checkpassword-reply in Dovecot before 2.2.7 performs setuid operations to a user who is authenticating, which allows local users to bypass authentication and access virtual email accounts by attaching to the process and using a restricted file descriptor to modify account information in the response to the dovecot-auth server. checkpassword-reply en Dovecot anteriores a 2.2.7 ejecuta operaciones setuid a usuarios que se están autenticando, lo cual permite a usuarios locales sortear la autenticación y acceder a cuentas de email virtuales adjuntandose al proceso y utilizando un descriptor de fichero restringido para modificar información de la cuenta en la respuesta al servidor dovecot-auth. • http://cpanel.net/tsr-2013-0010-full-disclosure http://secunia.com/advisories/54808 http://wiki2.dovecot.org/AuthDatabase/CheckPassword#Security http://www.dovecot.org/list/dovecot-news/2013-November/000264.html https://usn.ubuntu.com/3556-2 • CWE-287: Improper Authentication •