CVSS: 5.9EPSS: 1%CPEs: 1EXPL: 0CVE-2016-8652
https://notcve.org/view.php?id=CVE-2016-8652
The auth component in Dovecot before 2.2.27, when auth-policy is configured, allows a remote attackers to cause a denial of service (crash) by aborting authentication without setting a username. El componente de autenticación en Dovecot en versiones anteriores a 2.2.27, cuando la política de autenticación es configurada, permite a atacantes remotos provocar una denegación de servicio (caída) abortando la autenticación sin establecer un nombre de usuario. • http://dovecot.org/pipermail/dovecot-news/2016-December/000333.html http://www.openwall.com/lists/oss-security/2016/12/02/4 http://www.openwall.com/lists/oss-security/2016/12/05/12 http://www.securityfocus.com/bid/94639 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 1%CPEs: 9EXPL: 0CVE-2013-2111
https://notcve.org/view.php?id=CVE-2013-2111
The IMAP functionality in Dovecot before 2.2.2 allows remote attackers to cause a denial of service (infinite loop and CPU consumption) via invalid APPEND parameters. La funcionalidad IMAP en Dovecot anterior a 2.2.2 permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo de CPU) a través de parámetros APPEND inválidos. • http://secunia.com/advisories/53492 http://www.dovecot.org/list/dovecot-news/2013-May/000255.html http://www.openwall.com/lists/oss-security/2013/05/24/1 http://www.securitytracker.com/id/1028585 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 9%CPEs: 82EXPL: 0CVE-2014-3430 – dovecot: denial of service through maxxing out SSL connections
https://notcve.org/view.php?id=CVE-2014-3430
Dovecot 1.1 before 2.2.13 and dovecot-ee before 2.1.7.7 and 2.2.x before 2.2.12.12 does not properly close old connections, which allows remote attackers to cause a denial of service (resource consumption) via an incomplete SSL/TLS handshake for an IMAP/POP3 connection. Dovecot 1.1 anterior a 2.2.13 y dovecot-ee anterior a 2.1.7.7 y 2.2.x anterior a 2.2.12.12 no cierra debidamente conexiones antiguas, lo que permite a atacantes remotos causar una denegación de servicio (consumo de recursos) a través de una negociación SSL/TLS incompleta para una conexión IMAP/POP3. • http://advisories.mageia.org/MGASA-2014-0223.html http://dovecot.org/pipermail/dovecot-news/2014-May/000273.html http://linux.oracle.com/errata/ELSA-2014-0790.html http://permalink.gmane.org/gmane.mail.imap.dovecot/77499 http://rhn.redhat.com/errata/RHSA-2014-0790.html http://secunia.com/advisories/59051 http://secunia.com/advisories/59537 http://secunia.com/advisories/59552 http://www.debian.org/security/2014/dsa-2954 http://www.mandriva.com/security/advisories?name=MDVSA& • CWE-287: Improper Authentication CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.8EPSS: 0%CPEs: 51EXPL: 0CVE-2013-6171
https://notcve.org/view.php?id=CVE-2013-6171
checkpassword-reply in Dovecot before 2.2.7 performs setuid operations to a user who is authenticating, which allows local users to bypass authentication and access virtual email accounts by attaching to the process and using a restricted file descriptor to modify account information in the response to the dovecot-auth server. checkpassword-reply en Dovecot anteriores a 2.2.7 ejecuta operaciones setuid a usuarios que se están autenticando, lo cual permite a usuarios locales sortear la autenticación y acceder a cuentas de email virtuales adjuntandose al proceso y utilizando un descriptor de fichero restringido para modificar información de la cuenta en la respuesta al servidor dovecot-auth. • http://cpanel.net/tsr-2013-0010-full-disclosure http://secunia.com/advisories/54808 http://wiki2.dovecot.org/AuthDatabase/CheckPassword#Security http://www.dovecot.org/list/dovecot-news/2013-November/000264.html https://usn.ubuntu.com/3556-2 • CWE-287: Improper Authentication •
CVSS: 5.8EPSS: 0%CPEs: 16EXPL: 0CVE-2011-4318 – dovecot: proxy destination host name not checked against SSL certificate name
https://notcve.org/view.php?id=CVE-2011-4318
Dovecot 2.0.x before 2.0.16, when ssl or starttls is enabled and hostname is used to define the proxy destination, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a valid certificate for a different hostname. Dovecot v2.0.x antes de v2.0.16, cuando ssl o starttls está disponible y hostname se usa para definir la destinación del proxy, que no verifica que el servidor hostname busca el nombre del dominio en el sujeto del Common Name (CN) del certificado X.509, que permite ataques man-in-the middle para burlar los servidores SSL a través de un certificado para un hostname diferente. • http://hg.dovecot.org/dovecot-2.0/rev/5e9eaf63a6b1 http://rhn.redhat.com/errata/RHSA-2013-0520.html http://secunia.com/advisories/46886 http://secunia.com/advisories/52311 http://www.dovecot.org/list/dovecot-news/2011-November/000200.html http://www.openwall.com/lists/oss-security/2011/11/18/5 http://www.openwall.com/lists/oss-security/2011/11/18/7 https://bugs.gentoo.org/show_bug.cgi?id=390887 https://bugzilla.redhat.com/show_bug.cgi?id=754980 https:/&# • CWE-20: Improper Input Validation •