CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0CVE-2017-15132
https://notcve.org/view.php?id=CVE-2017-15132
A flaw was found in dovecot 2.0 up to 2.2.33 and 2.3.0. An abort of SASL authentication results in a memory leak in dovecot's auth client used by login processes. The leak has impact in high performance configuration where same login processes are reused and can cause the process to crash due to memory exhaustion. Se ha detectado un fallo en dovecot desde la versión 2.0 hasta la 2.2.33 y 2.3.0. El aborto de una autenticación SASL resulta en una fuga de memoria en el cliente de autenticación de dovecot utilizado por los procesos de inicio de sesión. • https://bugzilla.redhat.com/show_bug.cgi?id=1532768 https://github.com/dovecot/core/commit/1a29ed2f96da1be22fa5a4d96c7583aa81b8b060.patch https://lists.debian.org/debian-lts-announce/2018/03/msg00036.html https://usn.ubuntu.com/3556-1 https://usn.ubuntu.com/3556-2 https://www.debian.org/security/2018/dsa-4130 https://www.dovecot.org/list/dovecot-news/2018-February/000370.html • CWE-400: Uncontrolled Resource Consumption CWE-772: Missing Release of Resource after Effective Lifetime •
CVSS: 5.9EPSS: 2%CPEs: 4EXPL: 0CVE-2015-3420
https://notcve.org/view.php?id=CVE-2015-3420
The ssl-proxy-openssl.c function in Dovecot before 2.2.17, when SSLv3 is disabled, allow remote attackers to cause a denial of service (login process crash) via vectors related to handshake failures. La función ssl-proxy-openssl.c en Dovecot en versiones anteriores a la 2.2.17, cuando SSLv3 está deshabilitado, permite que atacantes remotos provoquen una denegación de servicio (cierre inesperado del proceso de inicio de sesión) mediante vectores relacionados con errores de negociación de protocolos. • http://lists.fedoraproject.org/pipermail/package-announce/2015-May/157030.html http://lists.fedoraproject.org/pipermail/package-announce/2015-May/158236.html http://lists.fedoraproject.org/pipermail/package-announce/2015-May/158261.html http://www.openwall.com/lists/oss-security/2015/04/27/1 http://www.openwall.com/lists/oss-security/2015/04/28/4 http://www.securityfocus.com/bid/74335 https://bugzilla.redhat.com/show_bug.cgi?id=1216057 https://dovecot.org/pipermail/dovecot-news/201 • CWE-295: Improper Certificate Validation •
CVSS: 5.9EPSS: 1%CPEs: 1EXPL: 0CVE-2016-8652
https://notcve.org/view.php?id=CVE-2016-8652
The auth component in Dovecot before 2.2.27, when auth-policy is configured, allows a remote attackers to cause a denial of service (crash) by aborting authentication without setting a username. El componente de autenticación en Dovecot en versiones anteriores a 2.2.27, cuando la política de autenticación es configurada, permite a atacantes remotos provocar una denegación de servicio (caída) abortando la autenticación sin establecer un nombre de usuario. • http://dovecot.org/pipermail/dovecot-news/2016-December/000333.html http://www.openwall.com/lists/oss-security/2016/12/02/4 http://www.openwall.com/lists/oss-security/2016/12/05/12 http://www.securityfocus.com/bid/94639 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 1%CPEs: 9EXPL: 0CVE-2013-2111
https://notcve.org/view.php?id=CVE-2013-2111
The IMAP functionality in Dovecot before 2.2.2 allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via invalid APPEND parameters. La funcionalidad IMAP en Dovecot anterior a 2.2.2 permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo de CPU) a través de parámetros APPEND inválidos. • http://secunia.com/advisories/53492 http://www.dovecot.org/list/dovecot-news/2013-May/000255.html http://www.openwall.com/lists/oss-security/2013/05/24/1 http://www.securitytracker.com/id/1028585 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 9%CPEs: 82EXPL: 0CVE-2014-3430 – dovecot: denial of service through maxxing out SSL connections
https://notcve.org/view.php?id=CVE-2014-3430
Dovecot 1.1 before 2.2.13 and dovecot-ee before 2.1.7.7 and 2.2.x before 2.2.12.12 does not properly close old connections, which allows remote attackers to cause a denial of service (resource consumption) via an incomplete SSL/TLS handshake for an IMAP/POP3 connection. Dovecot 1.1 anterior a 2.2.13 y dovecot-ee anterior a 2.1.7.7 y 2.2.x anterior a 2.2.12.12 no cierra debidamente conexiones antiguas, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una negociación SSL/TLS incompleta para una conexión IMAP/POP3. • http://advisories.mageia.org/MGASA-2014-0223.html http://dovecot.org/pipermail/dovecot-news/2014-May/000273.html http://linux.oracle.com/errata/ELSA-2014-0790.html http://permalink.gmane.org/gmane.mail.imap.dovecot/77499 http://rhn.redhat.com/errata/RHSA-2014-0790.html http://secunia.com/advisories/59051 http://secunia.com/advisories/59537 http://secunia.com/advisories/59552 http://www.debian.org/security/2014/dsa-2954 http://www.mandriva.com/security/advisories?name=MDVSA& • CWE-287: Improper Authentication CWE-400: Uncontrolled Resource Consumption •