FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir a negação de serviços do dovecot, aviso ArchLinux: 202002-6

quinta-feira, 13 de fevereiro de 2020

Atualização de segurança do ArchLinux para corrigir a negação de serviços do dovecot, aviso ArchLinux: 202002-6




Confira !!



O pacote dovecot antes da versão 2.3.9.3-1 é vulnerável à negação de serviço.
Comunicado de Segurança do Arch Linux ASA-202002-6
=========================================

Gravidade: média
Data: 2020-02-12
CVE-ID: CVE-2020-7046 CVE-2020-7957
Pacote: dovecot
Tipo: negação de serviço
Remoto: Sim
Link: https://security.archlinux.org/AVG-1097

Sumário
=======

O pacote dovecot antes da versão 2.3.9.3-1 é vulnerável à negação de
serviço.

Resolução
==========

Atualize para 2.3.9.3-1.

# pacman -Syu "dovecot> = 2.3.9.3-1"

Os problemas foram corrigidos na versão 2.3.9.3.

Gambiarra
==========

Nenhum.

Descrição
===========

- CVE-2020-7046 (negação de serviço)

Uma negação de serviço foi encontrada em Dovecot antes de 2.3.9.3, onde
lib-smtp não manipula parâmetros de comando truncados corretamente,
resultando em loop infinito usando 100% da CPU para o processo. este
acontece no LMTP (onde isso não importa muito) e também no
envio de envio onde usuários não autenticados podem acioná-lo.

- CVE-2020-7957 (negação de serviço)

Uma negação de serviço foi encontrada em Dovecot antes de 2.3.9.3, onde
um email especialmente criado pode causar permanentemente uma caixa de correio
correio inacessível ou o próprio email pode ficar preso na entrega. este
acontece porque a geração de trechos falha se uma mensagem for grande
o suficiente para que o analisador de mensagens retorne vários blocos de corpo, o primeiro
blocos não contêm o snippet completo (por exemplo, espaço em branco) e
a entrada termina com '>'.

Impacto
======

Um usuário remoto não autenticado pode causar uma negação de serviço por meio de um
mensagem criada.

Referências
==========

https://dovecot.org/pipermail/dovecot-news/2020-February/000430.html
https://dovecot.org/pipermail/dovecot-news/2020-February/000431.html
https://security.archlinux.org/CVE-2020-7046
https://security.archlinux.org/CVE-2020-7957


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário