Confira !
- CVE-2020-10957: lmtp / envio: um cliente pode travar o servidor enviando um comando NOOP com um parâmetro de sequência inválido. Isso ocorre principalmente para um parâmetro que não inicia com aspas duplas. Isso se aplica a todos os serviços SMTP, incluindo o envio de login, o que torna possível travar o serviço de envio sem autenticação. - CVE-2020-10958: lmtp / envio:
-------------------------------------------------- ------------------------------
Notificação de Atualização do Fedora
FEDORA-2020-b60344c987
Data da estadia: fevereiro de 2019
-------------------------------------------------- ------------------------------
Nome: dovecot
Produto: Fedora 31
Versão: 2.3.10.1
Lançamento: 1.fc31
URL: https://www.dovecot.org/
Resumo: Servidor imap e pop3 seguro
Descrição :
Dovecot é um servidor IMAP para sistemas Linux / UNIX, escrito com segurança
principalmente em mente. Ele também contém um pequeno servidor POP3. Suporta correio
nos formatos maildir ou mbox.
Os drivers SQL e plug-ins de autenticação estão em seus subpacotes.
-------------------------------------------------- ------------------------------
Atualizar informação:
- CVE-2020-10957: lmtp / envio: um cliente pode travar o servidor enviando um
Comando NOOP com um parâmetro de sequência inválido. Isso ocorre particularmente para um
parâmetro que não começa com aspas duplas. Isso se aplica a todos os SMTP
serviços, incluindo envio de entrada, o que torna possível travar o
serviço de envio sem autenticação. - CVE-2020-10958: lmtp / envio:
Enviar muitos comandos inválidos ou desconhecidos pode fazer com que o servidor acesse liberado
memória, o que pode levar a uma falha no servidor. Isso acontece quando o servidor fecha
a conexão com um erro "421 Muitos comandos inválidos". O comando incorreto
limite depende do serviço (lmtp ou envio) e varia entre 10 e
20 comandos ruins. - CVE-2020-10967: lmtp / envio: Emitindo o comando RCPT
com um endereço que tenha a cadeia de caracteres entre aspas vazia como parte local causa o
serviço lmtp para falhar.
-------------------------------------------------- ------------------------------
ChangeLog:
* Seg 18 de maio de 2020 Michal Hlavinka - 1: 2.3.10.1-1
- dovecot atualizado para 2.3.10.1
- correções CVE-2020-10967, CVE-2020-10958, CVE-2020-10957
-------------------------------------------------- ------------------------------
Referências:
[1] Bug # 1834317 - CVE-2020-10957 dovecot: comandos NOOP malformados levam ao DoS
https://bugzilla.redhat.com/show_bug.cgi?id=1834317
[2] Bug # 1834323 - CVE-2020-10958 dovecot: comando seguido por um número suficiente de novas linhas leva ao uso após livre
https://bugzilla.redhat.com/show_bug.cgi?id=1834323
[3] Bug # 1834326 - CVE-2020-10967 dovecot: o envio de correio com parte local entre aspas vazia leva ao DoS
https://bugzilla.redhat.com/show_bug.cgi?id=1834326
-------------------------------------------------- ------------------------------
Esta atualização pode ser instalada com o programa de atualização "dnf". Usar
su -c 'upgrade dnf --visão FEDORA-2020-b60344c987' sob o comando
linha. Para obter mais informações, consulte a documentação dnf disponível em
https://dnf.readthedocs.io/en/latest/command_ref.html#upgrade-command-label
Todos os pacotes são assinados com a chave GPG do Projeto Fedora. Mais detalhes sobre as chaves GPG usadas pelo Projeto Fedora podem ser encontradas em
https://fedoraproject.org/keys
-------------------------------------------------- ------------------------------
_______________________________________________
lista de e-mail do pacote-anunciar - package-announce@lists.fedoraproject.org
Para cancelar a inscrição, envie um e-mail para package-announce-leave@lists.fedoraproject.org
Código de Conduta do Fedora: https://docs.fedoraproject.org/pt-BR/project/code-of-conduct/
Diretrizes da Lista: https://fedoraproject.org/wiki/Mailing_list_guidelines
Arquivos da lista: https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org
Nenhum comentário:
Postar um comentário