Confira !!
CVE-2020-12100: A análise de e-mails com um grande número de partes MIME pode ter resultado em uso excessivo da CPU ou travamento devido à falta de memória da pilha. CVE-2020-12673: A implementação NTLM da Dovecot não verifica corretamente o tamanho do buffer de mensagem, o que leva à leitura da alocação anterior que pode levar ao travamento. CVE-2020-10967: lmtp / envio:
-------------------------------------------------- ------------------------------
Notificação de atualização do Fedora
FEDORA-2020-cd8b8f887b
03-09-2020 16: 25: 10.755647
-------------------------------------------------- ------------------------------
Nome: pombal
Produto: Fedora 31
Versão: 2.3.11.3
Versão: 4.fc31
URL: https://www.dovecot.org/
Resumo: servidor imap e pop3 seguro
Descrição :
Dovecot é um servidor IMAP para sistemas do tipo Linux / UNIX, escrito com segurança
principalmente em mente. Ele também contém um pequeno servidor POP3. Suporta correio
em qualquer um dos formatos maildir ou mbox.
Os drivers SQL e plug-ins de autenticação estão em seus subpacotes.
-------------------------------------------------- ------------------------------
Atualizar informação:
CVE-2020-12100: a análise de emails com um grande número de partes MIME pode
resultaram em uso excessivo da CPU ou travamento devido ao esgotamento do
pilha de memória. CVE-2020-12673: A implementação NTLM da Dovecot não
verificar corretamente o tamanho do buffer de mensagem, o que leva à leitura anterior
alocação que pode levar à falha. CVE-2020-10967: lmtp / envio:
Emitir o comando RCPT com um endereço que tem a string entre aspas vazia
como local-part causa o travamento do serviço lmtp. CVE-2020-12674:
A implementação do mecanismo RPA da Dovecot aceita mensagem de comprimento zero, que
leva a assert-crash mais tarde.
-------------------------------------------------- ------------------------------
ChangeLog:
* Quarta, 26 de agosto de 2020 Michal Hlavinka - 1: 2.3.11.3-4
- corrigir FTBFS em sistemas de 32 bits
* Seg, 17 de agosto de 2020 Jeff Law - 1: 2.3.11.3-2
- Desativar LTO
* Sábado, 15 de agosto de 2020, Michal Hlavinka - 1: 2.3.11.3-1
- CVE-2020-12100: A análise de e-mails com um grande número de partes MIME pode
resultaram em uso excessivo da CPU ou travamento devido ao esgotamento do
pilha de memória.
- CVE-2020-12673: A implementação NTLM da Dovecot não verifica corretamente
tamanho do buffer de mensagem, o que leva à leitura de alocação anterior que pode
levar a um crash.
- CVE-2020-10967: lmtp / submissão: Emissão do comando RCPT com um
endereço que tem a string vazia entre aspas como parte local faz com que o lmtp
serviço para travar.
- CVE-2020-12674: A implementação do mecanismo RPA da Dovecot aceita
mensagem de comprimento zero, o que leva a assert-crash mais tarde.
* Sáb, 1º de agosto de 2020, Engenharia de Lançamento do Fedora - 1: 2.3.10.1-3
- Segunda tentativa - Reconstruída para
https://fedoraproject.org/wiki/Fedora_33_Mass_Rebuild
* Seg, 27 de julho de 2020 Engenharia de Lançamento do Fedora - 1: 2.3.10.1-2
- Reconstruído para https://fedoraproject.org/wiki/Fedora_33_Mass_Rebuild
-------------------------------------------------- ------------------------------
Referências:
[1] Bug # 1868539 - CVE-2020-12100 dovecot: esgotamento de recursos por meio de partes MIME profundamente aninhadas [fedora-all]
https://bugzilla.redhat.com/show_bug.cgi?id=1868539
[2] Bug # 1868540 - CVE-2020-12673 dovecot: leituras fora do limite na implementação do NTLM do dovecot [fedora-all]
https://bugzilla.redhat.com/show_bug.cgi?id=1868540
[3] Bug # 1868541 - CVE-2020-12674 dovecot: falha devido a declaração na implementação de RPA [fedora-all]
https://bugzilla.redhat.com/show_bug.cgi?id=1868541
-------------------------------------------------- ------------------------------
Esta atualização pode ser instalada com o programa de atualização "dnf". Usar
su -c 'dnf upgrade --advisory FEDORA-2020-cd8b8f887b' no comando
linha. Para obter mais informações, consulte a documentação dnf disponível em
https://dnf.readthedocs.io/en/latest/command_ref.html#upgrade-command-label
Todos os pacotes são assinados com a chave GPG do Projeto Fedora. Mais detalhes no
As chaves GPG usadas pelo Projeto Fedora podem ser encontradas em
https://fedoraproject.org/keys
-------------------------------------------------- ------------------------------
_______________________________________________
Anúncio da lista de discussão pacote - package-announce@lists.fedoraproject.org
To unsubscribe send an email to package-announce-leave@lists.fedoraproject.org
Fedora Code of Conduct: https://docs.fedoraproject.org/en-US/project/code-of-conduct/
List Guidelines: https://fedoraproject.org/wiki/Mailing_list_guidelines
List Archives: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário