FERRAMENTAS LINUX: Atualização de segurança do Fedora31 para o dovecot, aviso 2020-cd8b8f887b

quinta-feira, 3 de setembro de 2020

Atualização de segurança do Fedora31 para o dovecot, aviso 2020-cd8b8f887b


Confira !!



CVE-2020-12100: A análise de e-mails com um grande número de partes MIME pode ter resultado em uso excessivo da CPU ou travamento devido à falta de memória da pilha. CVE-2020-12673: A implementação NTLM da Dovecot não verifica corretamente o tamanho do buffer de mensagem, o que leva à leitura da alocação anterior que pode levar ao travamento. CVE-2020-10967: lmtp / envio:
-------------------------------------------------- ------------------------------
Notificação de atualização do Fedora
FEDORA-2020-cd8b8f887b
03-09-2020 16: 25: 10.755647
-------------------------------------------------- ------------------------------

Nome: pombal
Produto: Fedora 31
Versão: 2.3.11.3
Versão: 4.fc31
URL: https://www.dovecot.org/
Resumo: servidor imap e pop3 seguro
Descrição :
Dovecot é um servidor IMAP para sistemas do tipo Linux / UNIX, escrito com segurança
principalmente em mente. Ele também contém um pequeno servidor POP3. Suporta correio
em qualquer um dos formatos maildir ou mbox.

Os drivers SQL e plug-ins de autenticação estão em seus subpacotes.

-------------------------------------------------- ------------------------------
Atualizar informação:

    CVE-2020-12100: a análise de emails com um grande número de partes MIME pode
resultaram em uso excessivo da CPU ou travamento devido ao esgotamento do
pilha de memória. CVE-2020-12673: A implementação NTLM da Dovecot não
verificar corretamente o tamanho do buffer de mensagem, o que leva à leitura anterior
alocação que pode levar à falha. CVE-2020-10967: lmtp / envio:
Emitir o comando RCPT com um endereço que tem a string entre aspas vazia
como local-part causa o travamento do serviço lmtp. CVE-2020-12674:
A implementação do mecanismo RPA da Dovecot aceita mensagem de comprimento zero, que
leva a assert-crash mais tarde.
-------------------------------------------------- ------------------------------
ChangeLog:

* Quarta, 26 de agosto de 2020 Michal Hlavinka  - 1: 2.3.11.3-4
- corrigir FTBFS em sistemas de 32 bits
* Seg, 17 de agosto de 2020 Jeff Law  - 1: 2.3.11.3-2
- Desativar LTO
* Sábado, 15 de agosto de 2020, Michal Hlavinka  - 1: 2.3.11.3-1
- CVE-2020-12100: A análise de e-mails com um grande número de partes MIME pode
  resultaram em uso excessivo da CPU ou travamento devido ao esgotamento do
  pilha de memória.
- CVE-2020-12673: A implementação NTLM da Dovecot não verifica corretamente
  tamanho do buffer de mensagem, o que leva à leitura de alocação anterior que pode
  levar a um crash.
- CVE-2020-10967: lmtp / submissão: Emissão do comando RCPT com um
  endereço que tem a string vazia entre aspas como parte local faz com que o lmtp
  serviço para travar.
- CVE-2020-12674: A implementação do mecanismo RPA da Dovecot aceita
  mensagem de comprimento zero, o que leva a assert-crash mais tarde.
* Sáb, 1º de agosto de 2020, Engenharia de Lançamento do Fedora  - 1: 2.3.10.1-3
- Segunda tentativa - Reconstruída para
  https://fedoraproject.org/wiki/Fedora_33_Mass_Rebuild
* Seg, 27 de julho de 2020 Engenharia de Lançamento do Fedora  - 1: 2.3.10.1-2
- Reconstruído para https://fedoraproject.org/wiki/Fedora_33_Mass_Rebuild
-------------------------------------------------- ------------------------------
Referências:

  [1] Bug # 1868539 - CVE-2020-12100 dovecot: esgotamento de recursos por meio de partes MIME profundamente aninhadas [fedora-all]
        https://bugzilla.redhat.com/show_bug.cgi?id=1868539
  [2] Bug # 1868540 - CVE-2020-12673 dovecot: leituras fora do limite na implementação do NTLM do dovecot [fedora-all]
        https://bugzilla.redhat.com/show_bug.cgi?id=1868540
  [3] Bug # 1868541 - CVE-2020-12674 dovecot: falha devido a declaração na implementação de RPA [fedora-all]
        https://bugzilla.redhat.com/show_bug.cgi?id=1868541
-------------------------------------------------- ------------------------------

Esta atualização pode ser instalada com o programa de atualização "dnf". Usar
su -c 'dnf upgrade --advisory FEDORA-2020-cd8b8f887b' no comando
linha. Para obter mais informações, consulte a documentação dnf disponível em
https://dnf.readthedocs.io/en/latest/command_ref.html#upgrade-command-label

Todos os pacotes são assinados com a chave GPG do Projeto Fedora. Mais detalhes no
As chaves GPG usadas pelo Projeto Fedora podem ser encontradas em
https://fedoraproject.org/keys
-------------------------------------------------- ------------------------------
_______________________________________________
Anúncio da lista de discussão pacote- package-announce@lists.fedoraproject.org
Para cancelar, envie um e-mail para package-announce-leave@lists.fedoraproject.org
Código de Conduta do Fedora: https://docs.fedoraproject.org/en-US/project/code-of-conduct/
Diretrizes da lista: https://fedoraproject.org/wiki/Mailing_list_guidelines
Arquivos da lista: https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário