Confira !!
O pacote dovecot antes da versão 2.3.9.3-1 é vulnerável à negação de serviço.
Comunicado de Segurança do Arch Linux ASA-202002-6
=========================================
Gravidade: média
Data: 2020-02-12
CVE-ID: CVE-2020-7046 CVE-2020-7957
Pacote: dovecot
Tipo: negação de serviço
Remoto: Sim
Link: https://security.archlinux.org/AVG-1097
Sumário
=======
O pacote dovecot antes da versão 2.3.9.3-1 é vulnerável à negação de
serviço.
Resolução
==========
Atualize para 2.3.9.3-1.
# pacman -Syu "dovecot> = 2.3.9.3-1"
Os problemas foram corrigidos na versão 2.3.9.3.
Gambiarra
==========
Nenhum.
Descrição
===========
- CVE-2020-7046 (negação de serviço)
Uma negação de serviço foi encontrada em Dovecot antes de 2.3.9.3, onde
lib-smtp não manipula parâmetros de comando truncados corretamente,
resultando em loop infinito usando 100% da CPU para o processo. este
acontece no LMTP (onde isso não importa muito) e também no
envio de envio onde usuários não autenticados podem acioná-lo.
- CVE-2020-7957 (negação de serviço)
Uma negação de serviço foi encontrada em Dovecot antes de 2.3.9.3, onde
um email especialmente criado pode causar permanentemente uma caixa de correio
correio inacessível ou o próprio email pode ficar preso na entrega. este
acontece porque a geração de trechos falha se uma mensagem for grande
o suficiente para que o analisador de mensagens retorne vários blocos de corpo, o primeiro
blocos não contêm o snippet completo (por exemplo, espaço em branco) e
a entrada termina com '>'.
Impacto
======
Um usuário remoto não autenticado pode causar uma negação de serviço por meio de um
mensagem criada.
Referências
==========
https://dovecot.org/pipermail/dovecot-news/2020-February/000430.html
https://dovecot.org/pipermail/dovecot-news/2020-February/000431.html
https://security.archlinux.org/CVE-2020-7046
https://security.archlinux.org/CVE-2020-7957
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário