Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Buffer Overflow in…

Ab welcher Version ist der Bug vorhanden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ab welcher Version ist der Bug vorhanden?

    Autor: bloody 29.08.19 - 09:12

    Ist der von Anbeginn in Dovecot oder erst ab einer bestimmten Version?
    Haben halt noch 1 etwas älteren bei nem Kunden stehen, der sich aber wehement weigert endlich mal alles auf den neusten Stand zu bringen. "Wieso? Läuft doch!". ...

    Grüße
    bloody

  2. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 10:48

    bloody schrieb:
    --------------------------------------------------------------------------------
    > Ist der von Anbeginn in Dovecot oder erst ab einer bestimmten Version?
    > Haben halt noch 1 etwas älteren bei nem Kunden stehen, der sich aber
    > wehement weigert endlich mal alles auf den neusten Stand zu bringen.
    > "Wieso? Läuft doch!". ...

    Wieso interessiert dich jetzt genau dieser Bug und all die anderen in 1.x nicht?
    So Kunden schickt man zum Teufel weil nur Ärger und zu verdienen ohnehin nichts

  3. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: bloody 29.08.19 - 12:10

    Kannst du gerne so handhaben. Ich hab ein ziemlich gutes Verhältnis mit dem Kunden und er zahlt bei den laufenden Projekten auch gut, hat aber eben diese Eigenart laufende Systeme kaum anfassen zu wollen. Habs schriftlich das ICH vor den Risiken und Folgen gewarnt habe, von daher ist es sein Problem.
    Hat mich nur so interessiert.

  4. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 12:13

    Internal reference: DOV-3278
    Vulnerability type: Improper input validation (CWE-20)
    Vulnerable version: All versions prior to 2.3.7.2 and 2.2.36.4
    Vulnerable component: IMAP and ManageSieve protocol parsers (before and
    after login)
    Report confidence: Confirmed
    Solution status: Fixed by Vendor
    Fixed version: 2.3.7.2, 2.2.36.4
    Researcher credits: Nick Roessler and Rafi Rubin, University of Pennsylvania
    Vendor notification: 2019-04-13
    Solution date: 2019-06-05
    Public disclosure: 2019-08-28
    CVE reference: CVE-2019-11500
    CVSS: 8.1 (CVSS3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

    Vulnerability Details:

    IMAP and ManageSieve protocol parsers do not properly handle NUL byte
    when scanning data in quoted strings, leading to out of bounds heap
    memory writes.

  5. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: mheiland 29.08.19 - 12:48

    In allen.

  6. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: phade 29.08.19 - 16:25

    Ich frag mich da leider immer wieder, wie schlecht dokumentiert es denn noch so geht.

    Wo ist der CVE dazu ?
    Ein Patch sichert auch nicht einen Fix für jede aktuell noch gepflegte Version zu.
    Und warum wird sowas veröffentlicht, wenn noch nicht alle Distris ein Update dazu haben ?

    Können nicht mal alle Distributionen auf der Homepage von dovecot genannt werden (z.B. ist CentOS 6 nunmal noch nicht EOL, ein Update gibt nicht). CentOS 6 läuft aktuell mit dovecot-2.0.9-22, also backported. Auf der Homepage von dovecot gibts neue Sourcen für Version 2.2 und 2.3

    Prima, dann darf man wieder Monate warten bis der Patch in die 2.0 backgeported wird und bis dahin ist die Kiste offen ...



    1 mal bearbeitet, zuletzt am 29.08.19 16:29 durch phade.

  7. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 16:33

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ich frag mich da leider immer wieder, wie schlecht dokumentiert es denn
    > noch so geht.
    >
    > Wo ist der CVE dazu ?

    Was genau hindert dich daran "CVE-2019-11500" in eine Suchmaschine einzugeben?

    > Ein Patch sichert auch nicht einen Fix für jede aktuell noch gepflegte
    > Version zu.

    Wovon sprichst du?

    [Dovecot-news] Dovecot release v2.2.36.4
    [Dovecot-news] Dovecot release v2.3.7.2
    [Dovecot-news] CVE-2019-11500

    > Und warum wird sowas veröffentlicht, wenn noch nicht alle Distris ein
    > Update dazu haben ?

    Aha, wieviele Wochen soll man denn warten?

    Nur weil deine Distribution noch kein Paket hat hätte ich es erst in Tagen mitbekommen sollen statt eine Stunde nach dem Announcement auf der Dovecot-Liste die neue Vesion fertig gebaut und verteilt zu haben?

    Build Date: Mi 28 Aug 2019 15:11:32 CEST
    Der Artikel ist erst um 18:00 gekommen, Zeit genug

    > Können nicht mal alle Distributionen auf der Homepage von dovecot genannt
    > werden (z.B. ist CentOS 6 nunmal noch nicht EOL, ein Update gibt nicht).

    Und was geht das Upstream an?



    1 mal bearbeitet, zuletzt am 29.08.19 16:35 durch netzwerkadmin.

  8. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: phade 29.08.19 - 17:03

    Ich fänd es halt sinnvoller, wenn die Sourcen zuerst an die Distris verteilt werden.
    Dann kann jeder gleich ein apt-get oder yum anwerfen und braucht sich nicht mit den Sourcen und backports rumschlagen.

    Gegenfrage: was interressiert mich upstream, wenn diverse Distris noch nicht EOL sind und noch kein Update gebaut haben ? Wie sollen sie das auch in einem Tag hinbekommen ?

    Jetzt weiss jedes Script-Kiddie, wie es Millionen Server nerven kann ...

    Ich weiss auch nicht, wo du den CVE auf dovecot.org gefunden hast, da stehen nur die News zu neuen Versionen. Bei mitre finde ich den dann, mach ich natürlich jeden Tag für jede Software ...

    @golem könnt den CVE auch gleich im Artikel nennen.

  9. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 17:09

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ich weiss auch nicht, wo du den CVE auf dovecot.org gefunden hast, da
    > stehen nur die News zu neuen Versionen. Bei mitre finde ich den dann, mach
    > ich natürlich jeden Tag für jede Software ...

    Ich habe 4 Stunden vor deinem Kommentar den relevanten Bereich vom Mail "[Dovecot-news] CVE-2019-11500:", gestern 14:06 , also eine Minute nach [Dovecot-news] Dovecot release v2.3.7.2 und [Dovecot-news] Dovecot release v2.2.36.4 gepostet

    Hier nochmal das Ganze, sorry, aber wenn du Server betreibst und sowas nicht mitbekommst weil du dich nur auf deine Distribution verlässt machst du deinen Job nicht richtig

    Dear subscribers, we have been made aware of critical vulnerability in
    Dovecot and Pigeonhole.

    Open-Xchange Security Advisory 2019-08-14

    Product: Dovecot
    Vendor: OX Software GmbH

    Internal reference: DOV-3278
    Vulnerability type: Improper input validation (CWE-20)
    Vulnerable version: All versions prior to 2.3.7.2 and 2.2.36.4
    Vulnerable component: IMAP and ManageSieve protocol parsers (before and
    after login)
    Report confidence: Confirmed
    Solution status: Fixed by Vendor
    Fixed version: 2.3.7.2, 2.2.36.4
    Researcher credits: Nick Roessler and Rafi Rubin, University of Pennsylvania
    Vendor notification: 2019-04-13
    Solution date: 2019-06-05
    Public disclosure: 2019-08-28
    CVE reference: CVE-2019-11500
    CVSS: 8.1 (CVSS3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

    Vulnerability Details:

    IMAP and ManageSieve protocol parsers do not properly handle NUL byte
    when scanning data in quoted strings, leading to out of bounds heap
    memory writes.

    Risk:

    This vulnerability allows for out-of-bounds writes to objects stored on
    the heap up to 8096 bytes in pre-login phase, and 65536 bytes post-login
    phase, allowing sufficiently skilled attacker to perform complicated
    attacks that can lead to leaking private information or remote code
    execution. Abuse of this bug is very difficult to observe, as it does
    not necessarily cause a crash. Attempts to abuse this bug are not
    directly evident from logs.

    Steps to reproduce:

    This bug is best observed using valgrind to see the out of bounds read
    with following snippet:

    perl -e 'print "a id (\"foo\" \"".("x"x1021)."\\A\" \"bar\"
    \"\000".("x"x1020)."\\A\")\n"' | nc localhost 143

  10. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 17:12

    phade schrieb:
    --------------------------------------------------------------------------------
    > @golem könnt den CVE auch gleich im Artikel nennen.

    Junge das in blauer Farbe sind Links, einfach auf das blaue "Advisory der Dovecot-Entwickler" den Finger über der Maustaste fallen lassem!

    Laut dem Advisory der Dovecot-Entwickler tritt das Problem auf, wenn man ein Null-Byte in einem durch Anführungszeichen eingeschlossenen String an den Server schickt. Ein einfaches Beispiel, wie man diesen Fehler auslösen kann, ist in der Mail erwähnt



    1 mal bearbeitet, zuletzt am 29.08.19 17:17 durch netzwerkadmin.

  11. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: phade 29.08.19 - 17:51

    Schon klar, alles die Mega-Admins hier, die von Ihrem Provider explizit zum Patchen von dovecot angestellt sind. Und nebenan sitzen die, die für andere Packages verantwortlich sind ...

    Es geht doch darum, es den Millionen admins auch mal einfacher zu machen.

    Alle stöhnen über Sicherheitslücken, dann werden die rausgepustet, ohne dass es einfach zu fixen ist. Da gräbt man sich die durch Maillinglisten, mitre, BSI, golem, heise, was weiss ich und soll es dann in 4 Stunden fixen, aber erstmal 4 Std lesen, sourcen suchen, runterladen, um schlussendlich ein diff zu produzieren, um sich den eigentlich patch zu basteln, um dass dann am Besten noch auf System selbst backporten zu können ... super, ich compile mit meine Distris alle selber, pflege mein eigenes Repository und hab ja sonst nix zu tun.

    Und logisch klicke ich auf den Advisory-Link, nur führt mich der nicht zu mitre, sondern irgendendwas bei openwall, klar, das lese ich doch zuerst, weil jeder weiss, dass dort dovecot gepflegt wird ... und finde dann in irgendeinem eMailschrott die CVE-Nummer, wie praktisch.

    Get real.

    Und so ein Humbug passiert, weil die Entwickler zu doof sind, mal ihre aktuellen Sourcen auf buffer-overflows zu checken. Das sowas nach 30 Jahren immer noch vorkommt, ist doch grotesk.

  12. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 18:09

    phade schrieb:
    --------------------------------------------------------------------------------
    > Schon klar, alles die Mega-Admins hier, die von Ihrem Provider explizit zum
    > Patchen von dovecot angestellt sind. Und nebenan sitzen die, die für andere
    > Packages verantwortlich sind ...

    Sollte im Zweifel so sein, ja

    > Es geht doch darum, es den Millionen admins auch mal einfacher zu machen.

    Ist es doch, hör auf News zu lesen und verlass dich auf deine Distribution

    > Alle stöhnen über Sicherheitslücken, dann werden die rausgepustet, ohne
    > dass es einfach zu fixen ist.

    Ist es doch- Du glaubst nicht ernsthaft nur weils den Artikel bei Golem oder das Advisory nicht gegeben hätte wäre was besser!

    Der einzige Unterschied wäre dass du nichts weisst, diejenigen die ernsthaft Angriffe fahren bekommen das auch so mit weil sie im gegenstz zu dir die Upstream-Aktivitäten von verbeiteter Serversoftware verfolgen

    Keine Ahnung wie du dir das in der Praxis vorstellst von wegen erst bekannt machen wenn alle Distris Updates haben und woher sollen die Distris eigentlich die Information bekommen wenn nicht aus dem Advisory? Glaubst du jedes Softwareproejkt ruft bei Updates alle Distris an

    > Da gräbt man sich die durch Maillinglisten,
    > mitre, BSI, golem, heise, was weiss ich und soll es dann in 4 Stunden
    > fixen, aber erstmal 4 Std lesen, sourcen suchen, runterladen, um
    > schlussendlich ein diff zu produzieren, um sich den eigentlich patch zu
    > basteln, um dass dann am Besten noch auf System selbst backporten zu können
    > ... super, ich compile mit meine Distris alle selber, pflege mein eigenes
    > Repository und hab ja sonst nix zu tun.

    Wozu willst du einen Diff produzieren?
    Der ist ja schon mitgeliefert worden

    Meine Distris compile ich nicht alle selber aber Serversoftware mit öffentlich erreichbaren Ports schon, seit vielen Jahren und wenns nur deswegen ist alles nicht benötigte beim Build zu deaktivieren oder systemd-hardening Optionen zu setzen die sich Distris nicht trauen

    Verringert nämlich die Angriffsfläche schon mal ganz grundsätzlich, ich zähle in den letzten Jahren etliche Lücken die bei mir niemals ausnutzbar waren

    > Und logisch klicke ich auf den Advisory-Link, nur führt mich der nicht zu
    > mitre

    Was zum Geier willst du bei MIRTE eigentlich?
    Das Advisory erklärt alles

    Bei dir wedelt der Schwanz mit dem Hund denn woher glaubst du kommt die Information bei MITRE her wenn nicht vom Hersteller der Software

    > sondern irgendendwas bei openwall, klar, das lese ich doch zuerst,
    > weil jeder weiss, dass dort dovecot gepflegt wird ...

    Freu dich dass du was gelernt hast, oder was lernen hättest können
    Open-X-Change != Openwall

    Mit einem besseren Gedächtnis könntest du dich noch an den Artikel Golem.de, 19. März 2015: "Open-Xchange übernimmt Dovecot" erinnern, ich konnte esm gut ich informiere mich auch über die Software die auf meinen Maschinen so läuft

    > und finde dann in irgendeinem eMailschrott die CVE-Nummer, wie praktisch.

    Du findest die verdammten Informationen und die CVE-Nummer kann dir ab dem Moment komplett wurscht sein oder was glaubst du weiss MITRE was die Dopvecot-Entwickler nicht wissen?

    > Get real.

    Das würde ich dir mal ans Herz legen

    > Und so ein Humbug passiert, weil die Entwickler zu doof sind, mal ihre
    > aktuellen Sourcen auf buffer-overflows zu checken. Das sowas nach 30 Jahren
    > immer noch vorkommt, ist doch grotesk.

    Wo ist denn dein in Rust geschriebener Mailserver mit dem gleichen Funktionsumfang?



    1 mal bearbeitet, zuletzt am 29.08.19 18:12 durch netzwerkadmin.

  13. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: demon driver 29.08.19 - 18:35

    phade schrieb:
    --------------------------------------------------------------------------------
    > [...] Können nicht mal alle Distributionen auf der Homepage von dovecot genannt
    > werden [...]

    Ich glaube, da liegt ein Missverständnis vor. Woher sollen die Entwickler einer Software wissen, welche Distributionen ihre Software in welcher Version vorhalten? Das entscheiden die Verantwortlichen für die Package-Repositories jeder Distribution alleine, und dort findest du im Zweifelsfall alle Infos, und wenn nicht, wären die Verantwortlichen der Distribution Ansprechpartner, aber nicht die Entwickler...

  14. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: mheiland 29.08.19 - 18:39

    phade schrieb:
    --------------------------------------------------------------------------------
    > Ich fänd es halt sinnvoller, wenn die Sourcen zuerst an die Distris
    > verteilt werden.
    > Dann kann jeder gleich ein apt-get oder yum anwerfen und braucht sich nicht
    > mit den Sourcen und backports rumschlagen.

    Wir haben die Distros 15 Tage vor der Veröffentlichung per oss-security linux-distros liste informiert und den Patch darüber "vorab" bereitgestellt. Ein längeres Embargo wird nicht geduldet. Die Vorgehensweise ist auf der Website der linux-distros liste dokumentiert.


    > Gegenfrage: was interressiert mich upstream, wenn diverse Distris noch
    > nicht EOL sind und noch kein Update gebaut haben ?

    Das ist in der Tat eine gute Frage für die Distro deiner Wahl :-)



    2 mal bearbeitet, zuletzt am 29.08.19 18:57 durch mheiland.

  15. Re: Ab welcher Version ist der Bug vorhanden?

    Autor: netzwerkadmin 29.08.19 - 18:40

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > [...] Können nicht mal alle Distributionen auf der Homepage von dovecot
    > genannt
    > > werden [...]
    >
    > Ich glaube, da liegt ein Missverständnis vor. Woher sollen die Entwickler
    > einer Software wissen, welche Distributionen ihre Software in welcher
    > Version vorhalten? Das entscheiden die Verantwortlichen für die
    > Package-Repositories jeder Distribution alleine, und dort findest du im
    > Zweifelsfall alle Infos, und wenn nicht, wären die Verantwortlichen der
    > Distribution Ansprechpartner, aber nicht die Entwickler...

    Er glaubt ja auch dass die Entwickler bei ALLEN Distributionen anrufen damit die ja alle schon die Updates in den Repos haben bevor man das Advisory schreibt während es in der echten Welt halt genau anders rum ist und bevor nicht ALLE Updates haben ist das alles streng geheim :-) :-)

    Die Paketbetreuer abbonieren Feeds, Mailingslists, Advisories etc. wie es jeder gute Sysadmin ebenfalls tut und bauen anhand dessen die Updates



    1 mal bearbeitet, zuletzt am 29.08.19 18:41 durch netzwerkadmin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über experteer GmbH, Künzelsau
  2. über experteer GmbH, Nürnberg
  3. über experteer GmbH, München
  4. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

  1. Digitale Signalübertragung: VDV möchte mehr Geld für ETCS-Umrüstungen
    Digitale Signalübertragung
    VDV möchte mehr Geld für ETCS-Umrüstungen

    Das Fahren von Zügen auf Strecken ohne sichtbare Signale wird von der Bundesregierung gefördert. Dem Verband der Verkehrsunternehmen (VDV) reicht das Geld für die ETCS-Ausrüstung aber nicht, er möchte eine Aufstockung, da die Kosten enorm hoch sind.

  2. iOS 13 im Test: Apple macht iOS hübscher
    iOS 13 im Test
    Apple macht iOS hübscher

    Ab dem 19. September 2019 wird die fertige Version von iOS 13 verteilt. Apple hat den Fokus diesmal mehr auf sichtbare Verbesserungen des Nutzererlebnisses gelegt: Wir haben uns den neuen Dark Mode, die verbesserte Kamera-App und weitere Neuerungen angeschaut und interessante Funktionen gefunden.

  3. T-Systems: Niemand konnte erklären, "warum wir so aufgestellt sind"
    T-Systems
    Niemand konnte erklären, "warum wir so aufgestellt sind"

    Die komplizierte Struktur bei T-Systems konnte dem Chef Adel Al-Saleh niemand logisch erklären. Nun wechseln 5.000 T-Systems-Beschäftigte zur Telekom Deutschland.


  1. 12:30

  2. 12:03

  3. 12:02

  4. 11:17

  5. 11:05

  6. 10:50

  7. 10:33

  8. 10:11