FERRAMENTAS LINUX: Atualização de Segurança do ArchLinux para corrigir váriosproblemas no dovecot, aviso ArchLinux: 202101-4

terça-feira, 5 de janeiro de 2021

Atualização de Segurança do ArchLinux para corrigir váriosproblemas no dovecot, aviso ArchLinux: 202101-4

 

Confira !!


O pacote dovecot antes da versão 2.3.13-1 é vulnerável a vários problemas, incluindo divulgação de informações e negação de serviço.

Aviso de segurança do Arch Linux ASA-202101-4

=================================================


Gravidade: alta

Data: 2021-01-04

CVE-ID: CVE-2020-24386 CVE-2020-25275

Pacote: pombal

Tipo: vários problemas

Remoto: Sim

Link: https://security.archlinux.org/AVG-1398


Resumo

=======


O pacote dovecot antes da versão 2.3.13-1 é vulnerável a vários

questões incluindo divulgação de informações e negação de serviço.


Resolução

==========


Atualize para 2.3.13-1.


# pacman -Syu "dovecot> = 2.3.13-1"


Os problemas foram corrigidos na versão 2.3.13.


Workaround

==========


Os operadores podem optar por desativar a hibernação IMAP. Hibernação IMAP é

não ativado por padrão. Para garantir que a hibernação do imap está desabilitada, certifique-se

imap_hibernate_timeout é definido como 0 ou não definido.


Descrição

===========


- CVE-2020-24386 (divulgação de informações)


Um problema de segurança foi descoberto na versão 2.2.26 do dovecot até

2.3.11.3. Quando a hibernação do imap está ativa, um invasor pode causar

dovecot para descobrir a estrutura de diretório do sistema de arquivos e acessar

e-mails de outros usuários usando um comando especialmente criado. O atacante

deve ter credenciais válidas para acessar o servidor de e-mail. O problema é

corrigido na versão 2.3.13 do dovecot.


- CVE-2020-25275 (negação de serviço)


Um problema de segurança foi descoberto na versão 2.3.11 do dovecot até

2.3.11.3. A entrega / análise de correio travou quando a 10.000ª parte MIME foi

mensagem / rfc822 (ou se seu pai era multipart / digest). Isso aconteceu

devido a alterações de análise MIME anteriores para CVE-2020-12100. Malicioso

remetentes podem travar o dovecot repetidamente enviando / carregando mensagens

com mais de 10.000 partes MIME. O problema foi corrigido na versão dovecot

2.3.13.


Impacto

======


Remetentes maliciosos podem travar o dovecot repetidamente enviando / enviando

mensagens com mais de 10.000 partes MIME.

Além disso, quando a hibernação do imap está ativa, um dispositivo remoto autenticado

atacante pode fazer com que o dovecot descubra o diretório do sistema de arquivos

estruturar e acessar os e-mails de outros usuários usando um formulário especialmente criado

comando.


Referências

==========


https://dovecot.org/pipermail/dovecot-news/2021-January/000450.html

https://github.com/dovecot/core/commit/00df2308b0733e810824545183d73276c416cdd3

https://github.com/dovecot/core/commit/b4a9872b833b7985c7d0e7615f1b7fc812dd4c55

https://dovecot.org/pipermail/dovecot-news/2021-January/000451.html

https://github.com/dovecot/core/commit/67f792cb98267ee74c425772e766e7a2525c0d8f

https://github.com/dovecot/core/commit/6ae93c3936fc870c313a6fdf44a0999d4129d9b8

https://security.archlinux.org/CVE-2020-24386

https://security.archlinux.org/CVE-2020-25275


Fonte

Até a próxima !!




Nenhum comentário:

Postar um comentário