ALT-PU-2021-2500-1

BDU:2021-03234

MEDIUM5.1

Уязвимость почтового сервера Dovecot, связанная с ошибками экранирования полей kid и azp в токенах JWT, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2021-06-25Modified: 2024-09-16

CVSS 3.xMEDIUM 5.1

CVSS:3.x/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0MEDIUM 4.0

CVSS:2.0/AV:L/AC:H/Au:N/C:C/I:N/A:N

References

CVE-2021-29157

BDU:2021-03235

MEDIUM4.3

Уязвимость почтового сервера Dovecot, связанная с ошибками управления ресурсами, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2021-06-25

CVSS 3.xMEDIUM 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

References

CVE-2020-28200

BDU:2021-03236

MEDIUM4.2

Уязвимость почтового сервера Dovecot, связанная с неверной нейтрализация особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю раскрыть учетные данные пользователей

Published: 2021-06-25Modified: 2024-09-16

CVSS 3.xMEDIUM 4.2

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0LOW 3.6

CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:P/A:N

References

CVE-2021-33515

CVE-2020-28200

MEDIUM4.3

The Sieve engine in Dovecot before 2.3.15 allows Uncontrolled Resource Consumption, as demonstrated by a situation with a complex regular expression for the regex extension.

Published: 2021-06-28Modified: 2024-11-21

CVSS 2.0MEDIUM 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:P

CVSS 3.xMEDIUM 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

References

CVE-2021-29157

MEDIUM5.5

Dovecot before 2.3.15 allows ../ Path Traversal. An attacker with access to the local filesystem can trick OAuth2 authentication into using an HS256 validation key from an attacker-controlled location. This occurs during use of local JWT validation with the posix fs driver.

Published: 2021-06-28Modified: 2024-11-21

CVSS 2.0LOW 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 3.xMEDIUM 5.5

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

References

CVE-2021-33515

MEDIUM4.8

The submission service in Dovecot before 2.3.15 allows STARTTLS command injection in lib-smtp. Sensitive information can be redirected to an attacker-controlled address.

Published: 2021-06-28Modified: 2024-11-21

CVSS 2.0MEDIUM 5.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 3.xMEDIUM 4.8

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

References

Package update dovecot in branch sisyphus

Closed issues (6)

Уязвимость почтового сервера Dovecot, связанная с ошибками управления ресурсами, позволяющая нарушителю вызвать отказ в обслуживании

The Sieve engine in Dovecot before 2.3.15 allows Uncontrolled Resource Consumption, as demonstrated by a situation with a complex regular expression for the regex extension.

Dovecot before 2.3.15 allows ../ Path Traversal. An attacker with access to the local filesystem can trick OAuth2 authentication into using an HS256 validation key from an attacker-controlled location. This occurs during use of local JWT validation with the posix fs driver.

The submission service in Dovecot before 2.3.15 allows STARTTLS command injection in lib-smtp. Sensitive information can be redirected to an attacker-controlled address.