Hanno Böck, un periodista freelance especializado en seguridad informática, ha descubierto una vulnerabilidad en el servidor de correo Dovecot.
Dovecot es un proyecto
open source que pone especial énfasis en la seguridad, tanto en el diseño como
en la implementación, y de acuerdo con openemailsurvey.org, está presente en
2.9 millones de servidores de correo a nivel mundial, representando un 57% del
total (datos de julio de 2014). El autor principal, Timo Sirainen, lleva desde
2006 ofreciendo una recompensa de 1.000 euros de su propio bolsillo a la
primera persona que reporte un fallo de seguridad.
Recursos afectados
- Concretamente, se ven afectados los servicios "imap-login" y "pop3-login", usados para manejar inicios de sesión en conexiones IMAP y POP3 respectivamente.
- Esta vulnerabilidad se debe al manejo incorrecto de un error cuando se inicia la negociación de una conexión TLS, que lleva a intentar terminar la negociación antes de haberla empezado. Esto ocasiona que las llamadas subyacentes a la librería OpenSSL provoquen un estado inválido que desemboca en la terminación del proceso servidor. Se le ha asignado el CVE-2015-3420 por parte de MITRE, y existe un parche provisional disponible en http://dovecot.org/tmp/diff
- Un atacante remoto podría causar una denegación de servicio, ya que estos servicios podrían dejar de funcionar, si, por ejemplo, un cliente intenta conectar especificando que sólo soporta SSLv3 y el servidor está configurado para no permitir conexiones SSLv3.
- Dovecot
http://dovecot.org/
- CVE request: Dovecot remote DoS on TLS
connections http://seclists.org/oss-sec/2015/q2/288
- [patch] TLS Handshake failures can crash
imap-login http://dovecot.org/pipermail/dovecot/2015-April/100618.html
- Login processes http://wiki2.dovecot.org/LoginProcess
- [Dovecot] 1.0 beta1 released http://www.dovecot.org/list/dovecot/2006-January/010855.html