Confira !!
O pacote dovecot antes da versão 2.3.13-1 é vulnerável a vários problemas, incluindo divulgação de informações e negação de serviço.
Aviso de segurança do Arch Linux ASA-202101-4
=================================================
Gravidade: alta
Data: 2021-01-04
CVE-ID: CVE-2020-24386 CVE-2020-25275
Pacote: pombal
Tipo: vários problemas
Remoto: Sim
Link: https://security.archlinux.org/AVG-1398
Resumo
=======
O pacote dovecot antes da versão 2.3.13-1 é vulnerável a vários
questões incluindo divulgação de informações e negação de serviço.
Resolução
==========
Atualize para 2.3.13-1.
# pacman -Syu "dovecot> = 2.3.13-1"
Os problemas foram corrigidos na versão 2.3.13.
Workaround
==========
Os operadores podem optar por desativar a hibernação IMAP. Hibernação IMAP é
não ativado por padrão. Para garantir que a hibernação do imap está desabilitada, certifique-se
imap_hibernate_timeout é definido como 0 ou não definido.
Descrição
===========
- CVE-2020-24386 (divulgação de informações)
Um problema de segurança foi descoberto na versão 2.2.26 do dovecot até
2.3.11.3. Quando a hibernação do imap está ativa, um invasor pode causar
dovecot para descobrir a estrutura de diretório do sistema de arquivos e acessar
e-mails de outros usuários usando um comando especialmente criado. O atacante
deve ter credenciais válidas para acessar o servidor de e-mail. O problema é
corrigido na versão 2.3.13 do dovecot.
- CVE-2020-25275 (negação de serviço)
Um problema de segurança foi descoberto na versão 2.3.11 do dovecot até
2.3.11.3. A entrega / análise de correio travou quando a 10.000ª parte MIME foi
mensagem / rfc822 (ou se seu pai era multipart / digest). Isso aconteceu
devido a alterações de análise MIME anteriores para CVE-2020-12100. Malicioso
remetentes podem travar o dovecot repetidamente enviando / carregando mensagens
com mais de 10.000 partes MIME. O problema foi corrigido na versão dovecot
2.3.13.
Impacto
======
Remetentes maliciosos podem travar o dovecot repetidamente enviando / enviando
mensagens com mais de 10.000 partes MIME.
Além disso, quando a hibernação do imap está ativa, um dispositivo remoto autenticado
atacante pode fazer com que o dovecot descubra o diretório do sistema de arquivos
estruturar e acessar os e-mails de outros usuários usando um formulário especialmente criado
comando.
Referências
==========
https://dovecot.org/pipermail/dovecot-news/2021-January/000450.html
https://github.com/dovecot/core/commit/00df2308b0733e810824545183d73276c416cdd3
https://github.com/dovecot/core/commit/b4a9872b833b7985c7d0e7615f1b7fc812dd4c55
https://dovecot.org/pipermail/dovecot-news/2021-January/000451.html
https://github.com/dovecot/core/commit/67f792cb98267ee74c425772e766e7a2525c0d8f
https://github.com/dovecot/core/commit/6ae93c3936fc870c313a6fdf44a0999d4129d9b8
https://security.archlinux.org/CVE-2020-24386
https://security.archlinux.org/CVE-2020-25275
Até a próxima !!
Nenhum comentário:
Postar um comentário