Re: Sicherheitslücke Dovecot

Gerald Galster list+postfixbuch at gcore.biz
Di Aug 20 19:40:01 CEST 2024


> Am 20.08.2024 um 11:14 schrieb Christoph Kukulies via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>:
>> Am 19.08.2024 um 17:00 schrieb Gerald Galster <list+postfixbuch at gcore.biz>:
>> 
>>> falls es jemand noch nicht mitbekommen haben sollte:
>>> 
>>> https://www.heise.de/news/Sicherheitspatch-Angreifer-koennen-Dovecot-Mail-Server-lahmlegen-9838592.html
>> 
>> In dem Fall besser die Originale lesen:
>> 
>> https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TBZIOBSMJ5G2C5HBJJCE62HW4ETDZF3S/
>> https://dovecot.org/mailman3/hyperkitty/list/dovecot@dovecot.org/thread/TEVOFHCKWZW62C6NAM25S3K7CL6KUL2J/
>> 
>> "Incoming mails typically have some size limits set by MTA,
>> so even largest possible header size may still fit into
>> Dovecot's vsz_limit. So attackers probably can't DoS a
>> victim user this way."
>> 
>> "Workaround:
>> One can implement restrictions on address headers on MTA
>> component preceding Dovecot."
>> 
>> 
>> https://www.postfix.org/postconf.5.html
>> 
>> message_size_limit (default: 10240000)
>> header_size_limit (default: 102400)
>> header_address_token_limit (default: 10240)
> 
> Und was heißt das jetzt im Klartext? Der einzige Parameter, der bei mir in der main.cf steht, ist
> message_size_limit = 51200000
> 
> Die anderen scheinen ja dann auf default zu stehen. Sollte ich die nun ändern?

Die Meldung sagt im Wesentlichen, dass dovecot bei ungefiltertem Maileingang anfällig für
"resource exhaustion" ist, also dass dem Server Ressourcen wie CPU und Arbeitsspeicher bei
einem solchen Angriff ausgehen können und er dadurch nicht mehr wie gewohnt erreichbar ist.

Der Maileingang ist aber nicht ungefiltert da Postfix diverse Limits vorsieht, die dem
Problem zumindest ein Stück weit entgegen wirken. Beispielsweise ist in der Meldung von
500.000 Adressheadern (To, Cc, ...) die Rede, postfix erlaubt aber standardmäßig nur
1000 Empfänger pro Mail (smtpd_recipient_limit).

Die Heise-Meldung hat bei mir den Eindruck erweckt, dass nun reihenweise Dovecot-Server
abgeschossen werden können und das ist nicht der Fall. Die Standardwerte von Postfix
bieten einen gewissen Schutz und daher werde ich diese bei meinen Systemen auch nicht
ändern.

Es mag Kombinationen geben, die einem ungepatchten Dovecot auch in Verbindung mit Postfix
Probleme bereiten, aber das sehe ich als gezielten Angriff und in dem Fall gibt es diverse
Möglichkeiten einen Mailserver lahmzulegen.

Viele Grüße
Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240820/539d5f72/attachment.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users