Re: Sicherheitslücke Dovecot
Gerald Galster
list+postfixbuch at gcore.biz
Mo Aug 19 17:00:38 CEST 2024
> falls es jemand noch nicht mitbekommen haben sollte:
>
> https://www.heise.de/news/Sicherheitspatch-Angreifer-koennen-Dovecot-Mail-Server-lahmlegen-9838592.html
In dem Fall besser die Originale lesen:
https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TBZIOBSMJ5G2C5HBJJCE62HW4ETDZF3S/
https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TEVOFHCKWZW62C6NAM25S3K7CL6KUL2J/
"Incoming mails typically have some size limits set by MTA,
so even largest possible header size may still fit into
Dovecot's vsz_limit. So attackers probably can't DoS a
victim user this way."
"Workaround:
One can implement restrictions on address headers on MTA
component preceding Dovecot."
https://www.postfix.org/postconf.5.html
message_size_limit (default: 10240000)
header_size_limit (default: 102400)
header_address_token_limit (default: 10240)
Die Meldung scheint nicht so dramatisch zu sein, wie sie auf den ersten Blick wirkt.
Viele Grüße
Gerald
Mehr Informationen über die Mailingliste Postfixbuch-users