Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
dovecot-core
(any)
dovecot-dbg
(any)
dovecot-dev
(any)
dovecot-gssapi
(any)
dovecot-imapd
(any)
dovecot-ldap
(any)
dovecot-lmtpd
(any)
dovecot-lucene
(any)
dovecot-managesieved
(any)
dovecot-mysql
(any)
dovecot-pgsql
(any)
dovecot-pop3d
(any)
dovecot-sieve
(any)
dovecot-solr
(any)
dovecot-sqlite
(any)
Описание
В Dovecot, сервере электронной почты, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2017-14461
Александр Николич из Cisco Talos и flxflndy обнаружили, что
Dovecot неправильно выполняет грамматический разбор адресов электронной почты, что может
вызывать аварийную остановку или утечку содержимого памяти злоумышленнику.
CVE-2017-15130
Было обнаружено, что преобразование настройки TLS SNI может приводить к чрезмерному
потреблению памяти, приводящему к достижению ограничения imap-login/pop3-login VSZ
и перезапуску процесса, что приводит к отказу в обслуживании. Этой уязвимости
подвержен только Dovecot, настройки которого содержат блоки
local_name { } или local { }.
CVE-2017-15132
Было обнаружено, что Dovecot содержит утечку памяти в процессе входа,
которая возникает при преждевременном прекращении SASL-аутентификации.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1:2.2.13-12~deb8u4.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:2.2.27-3+deb9u2.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2017-14461
Александр Николич из Cisco Talos и flxflndy обнаружили, что
Dovecot неправильно выполняет грамматический разбор адресов электронной почты, что может
вызывать аварийную остановку или утечку содержимого памяти злоумышленнику.
CVE-2017-15130
Было обнаружено, что преобразование настройки TLS SNI может приводить к чрезмерному
потреблению памяти, приводящему к достижению ограничения imap-login/pop3-login VSZ
и перезапуску процесса, что приводит к отказу в обслуживании. Этой уязвимости
подвержен только Dovecot, настройки которого содержат блоки
local_name { } или local { }.
CVE-2017-15132
Было обнаружено, что Dovecot содержит утечку памяти в процессе входа,
которая возникает при преждевременном прекращении SASL-аутентификации.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1:2.2.13-12~deb8u4.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:2.2.27-3+deb9u2.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
dovecot-core - 1:2.2.27-3+deb9u2
dovecot-dbg - 1:2.2.27-3+deb9u2
dovecot-dev - 1:2.2.27-3+deb9u2
dovecot-gssapi - 1:2.2.27-3+deb9u2
dovecot-imapd - 1:2.2.27-3+deb9u2
dovecot-ldap - 1:2.2.27-3+deb9u2
dovecot-lmtpd - 1:2.2.27-3+deb9u2
dovecot-lucene - 1:2.2.27-3+deb9u2
dovecot-managesieved - 1:2.2.27-3+deb9u2
dovecot-mysql - 1:2.2.27-3+deb9u2
dovecot-pgsql - 1:2.2.27-3+deb9u2
dovecot-pop3d - 1:2.2.27-3+deb9u2
dovecot-sieve - 1:2.2.27-3+deb9u2
dovecot-solr - 1:2.2.27-3+deb9u2
dovecot-sqlite - 1:2.2.27-3+deb9u2
Debian GNU/Linux 8:
noarch:
dovecot-core - 1:2.2.13-12~deb8u4
dovecot-dbg - 1:2.2.13-12~deb8u4
dovecot-dev - 1:2.2.13-12~deb8u4
dovecot-gssapi - 1:2.2.13-12~deb8u4
dovecot-imapd - 1:2.2.13-12~deb8u4
dovecot-ldap - 1:2.2.13-12~deb8u4
dovecot-lmtpd - 1:2.2.13-12~deb8u4
dovecot-lucene - 1:2.2.13-12~deb8u4
dovecot-managesieved - 1:2.2.13-12~deb8u4
dovecot-mysql - 1:2.2.13-12~deb8u4
dovecot-pgsql - 1:2.2.13-12~deb8u4
dovecot-pop3d - 1:2.2.13-12~deb8u4
dovecot-sieve - 1:2.2.13-12~deb8u4
dovecot-solr - 1:2.2.13-12~deb8u4
dovecot-sqlite - 1:2.2.13-12~deb8u4
Debian GNU/Linux 9:
noarch:
dovecot-core - 1:2.2.27-3+deb9u2
dovecot-dbg - 1:2.2.27-3+deb9u2
dovecot-dev - 1:2.2.27-3+deb9u2
dovecot-gssapi - 1:2.2.27-3+deb9u2
dovecot-imapd - 1:2.2.27-3+deb9u2
dovecot-ldap - 1:2.2.27-3+deb9u2
dovecot-lmtpd - 1:2.2.27-3+deb9u2
dovecot-lucene - 1:2.2.27-3+deb9u2
dovecot-managesieved - 1:2.2.27-3+deb9u2
dovecot-mysql - 1:2.2.27-3+deb9u2
dovecot-pgsql - 1:2.2.27-3+deb9u2
dovecot-pop3d - 1:2.2.27-3+deb9u2
dovecot-sieve - 1:2.2.27-3+deb9u2
dovecot-solr - 1:2.2.27-3+deb9u2
dovecot-sqlite - 1:2.2.27-3+deb9u2
Debian GNU/Linux 8:
noarch:
dovecot-core - 1:2.2.13-12~deb8u4
dovecot-dbg - 1:2.2.13-12~deb8u4
dovecot-dev - 1:2.2.13-12~deb8u4
dovecot-gssapi - 1:2.2.13-12~deb8u4
dovecot-imapd - 1:2.2.13-12~deb8u4
dovecot-ldap - 1:2.2.13-12~deb8u4
dovecot-lmtpd - 1:2.2.13-12~deb8u4
dovecot-lucene - 1:2.2.13-12~deb8u4
dovecot-managesieved - 1:2.2.13-12~deb8u4
dovecot-mysql - 1:2.2.13-12~deb8u4
dovecot-pgsql - 1:2.2.13-12~deb8u4
dovecot-pop3d - 1:2.2.13-12~deb8u4
dovecot-sieve - 1:2.2.13-12~deb8u4
dovecot-solr - 1:2.2.13-12~deb8u4
dovecot-sqlite - 1:2.2.13-12~deb8u4
Ссылки
http://www.debian.org/security/dsa-4130/
Источник: CVE
Наименование: CVE-2017-15130
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15130
Источник: CVE
Наименование: CVE-2017-15132
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15132
Источник: CVE
Наименование: CVE-2017-14461
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14461
Источник: CVE
Наименование: CVE-2017-15130
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15130
Источник: CVE
Наименование: CVE-2017-15132
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15132
Источник: CVE
Наименование: CVE-2017-14461
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14461