Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
dovecot-core
(any)
dovecot-dbg
(any)
dovecot-dev
(any)
dovecot-gssapi
(any)
dovecot-imapd
(any)
dovecot-ldap
(any)
dovecot-lmtpd
(any)
dovecot-lucene
(any)
dovecot-managesieved
(any)
dovecot-mysql
(any)
dovecot-pgsql
(any)
dovecot-pop3d
(any)
dovecot-sieve
(any)
dovecot-solr
(any)
dovecot-sqlite
(any)
Описание
Было обнаружено, что Dovecot, сервер электронной почты, уязвим к
отказу в обслуживании. Если для аутентификации пользователей используются
dict passdb и userdb, то имя пользователя, отправляемое клиентом IMAP/POP3,
отправляется через var_expand() для выполнения раскрытия %variable. Отправка
специально сформированных полей %variable может приводить к чрезмерному потреблению
памяти, что приводит к аварийной остановке процесса (и перезапуску).
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 1:2.2.13-12~deb8u2.
Рекомендуется обновить пакеты dovecot.
отказу в обслуживании. Если для аутентификации пользователей используются
dict passdb и userdb, то имя пользователя, отправляемое клиентом IMAP/POP3,
отправляется через var_expand() для выполнения раскрытия %variable. Отправка
специально сформированных полей %variable может приводить к чрезмерному потреблению
памяти, что приводит к аварийной остановке процесса (и перезапуску).
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 1:2.2.13-12~deb8u2.
Рекомендуется обновить пакеты dovecot.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
dovecot-core - 1:2.2.13-12~deb8u2
dovecot-dbg - 1:2.2.13-12~deb8u2
dovecot-dev - 1:2.2.13-12~deb8u2
dovecot-gssapi - 1:2.2.13-12~deb8u2
dovecot-imapd - 1:2.2.13-12~deb8u2
dovecot-ldap - 1:2.2.13-12~deb8u2
dovecot-lmtpd - 1:2.2.13-12~deb8u2
dovecot-lucene - 1:2.2.13-12~deb8u2
dovecot-managesieved - 1:2.2.13-12~deb8u2
dovecot-mysql - 1:2.2.13-12~deb8u2
dovecot-pgsql - 1:2.2.13-12~deb8u2
dovecot-pop3d - 1:2.2.13-12~deb8u2
dovecot-sieve - 1:2.2.13-12~deb8u2
dovecot-solr - 1:2.2.13-12~deb8u2
dovecot-sqlite - 1:2.2.13-12~deb8u2
Debian GNU/Linux 8:
noarch:
dovecot-core - 1:2.2.13-12~deb8u2
dovecot-dbg - 1:2.2.13-12~deb8u2
dovecot-dev - 1:2.2.13-12~deb8u2
dovecot-gssapi - 1:2.2.13-12~deb8u2
dovecot-imapd - 1:2.2.13-12~deb8u2
dovecot-ldap - 1:2.2.13-12~deb8u2
dovecot-lmtpd - 1:2.2.13-12~deb8u2
dovecot-lucene - 1:2.2.13-12~deb8u2
dovecot-managesieved - 1:2.2.13-12~deb8u2
dovecot-mysql - 1:2.2.13-12~deb8u2
dovecot-pgsql - 1:2.2.13-12~deb8u2
dovecot-pop3d - 1:2.2.13-12~deb8u2
dovecot-sieve - 1:2.2.13-12~deb8u2
dovecot-solr - 1:2.2.13-12~deb8u2
dovecot-sqlite - 1:2.2.13-12~deb8u2
Ссылки
http://www.debian.org/security/dsa-3828/
Источник: CVE
Наименование: CVE-2017-2669
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2669
Источник: CVE
Наименование: CVE-2017-2669
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2669