Informazioni sul CVE-2024-23185
N/A
CWE ID: CWE-770
Base Score (CVSS): N/A
CVE: CVE-2024-23185
Descrizione: Ieri grandi intestazioni possono causare esaurimento delle risorse durante la lettura del messaggio. Il parser messaggio legge in genere frammenti di messaggio di dimensioni ragionevoli. Tuttavia, quando li alimenta, inizia a costruire un buffer “full_value” con dimensioni illimitate, quindi grandi intestazioni possono causare un elevato utilizzo della memoria. Non importa se è una singola riga di intestazione lunga o una riga di intestazione divisa in più righe. Questo bug esiste in tutte le versioni Dovecot. Le email in entrata hanno solitamente limiti di dimensione impostati dall’MTA, quindi anche la dimensione massima possibile di un intestazione potrebbe ancora entrare nel vsz_limit di Dovecot. Quindi, gli attaccanti probabilmente non possonoDoS un utente in questo modo. Un utente potrebbe aggiungere email più grandi, permettendo loro diDoS se stessi (anche se potrebbe causare alcuni problemi di memoria per il backend in generale). Si può implementare restrizione sugli intestazioni sul componente MTA precedente a Dovecot. Non sono note vulnerabilità pubblicamente disponibili.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://documentation.open-xchange.com/dovecot/security/advisories/csaf/2024/oxdc-adv-2024-0003.json
Prodotti interessati
- Open-Xchange GmbH – OX Dovecot Pro
Relazioni con altri prodotti
Produttore:Open-Xchange GmbH
Prodotto: OX Dovecot Pro
Anno: 2024
CWE: CWE-770
CVSS: 0.0