Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2020-12674

Опубликовано: 12 авг. 2020
Источник: redhat
CVSS3: 7.5
EPSS Низкий

Описание

In Dovecot before 2.3.11.3, sending a specially formatted RPA request will crash the auth service because a length of zero is mishandled.

A flaw was found in dovecot. An attacker can use the way dovecot handles RPA (Remote Passphrase Authentication) to crash the authentication process repeatedly preventing login. The highest threat from this vulnerability is to system availability.

Меры по смягчению последствий

Upstream suggests that this flaw can be mitigated by disabling RPA (Remote Passphrase Authentication). RPA can be disabled by using the configuration parameter "auth_mechanisms". More details available at: https://doc.dovecot.org/configuration_manual/authentication/authentication_mechanisms/

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5dovecotNot affected
Red Hat Enterprise Linux 6dovecotNot affected
Red Hat Enterprise Linux 7dovecotFixedRHSA-2020:361703.09.2020
Red Hat Enterprise Linux 8dovecotFixedRHSA-2020:371310.09.2020
Red Hat Enterprise Linux 8.0 Update Services for SAP SolutionsdovecotFixedRHSA-2020:373514.09.2020
Red Hat Enterprise Linux 8.1 Extended Update SupportdovecotFixedRHSA-2020:373614.09.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-125
https://bugzilla.redhat.com/show_bug.cgi?id=1866317dovecot: Crash due to assert in RPA implementation

EPSS

Процентиль: 92%
0.08707
Низкий

7.5 High

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2020-12674

CVSS3: 7.5
ubuntu
около 5 лет назад

In Dovecot before 2.3.11.3, sending a specially formatted RPA request will crash the auth service because a length of zero is mishandled.

nvd логотип

CVE-2020-12674

CVSS3: 7.5
nvd
около 5 лет назад

In Dovecot before 2.3.11.3, sending a specially formatted RPA request will crash the auth service because a length of zero is mishandled.

debian логотип

CVE-2020-12674

CVSS3: 7.5
debian
около 5 лет назад

In Dovecot before 2.3.11.3, sending a specially formatted RPA request ...

github логотип

GHSA-h779-883h-mr35

CVSS3: 7.5
github
около 3 лет назад

In Dovecot before 2.3.11.3, sending a specially formatted RPA request will crash the auth service because a length of zero is mishandled.

fstec логотип

BDU:2020-05782

CVSS3: 7.5
fstec
около 5 лет назад

Уязвимость почтового сервера Dovecot, связанная с некорректной проверкой входных данных, позволяющая нарушителю привести к сбою в работе службы аутентификации

EPSS

Процентиль: 92%
0.08707
Низкий

7.5 High

CVSS3