• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4385-1 dovecot -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4385-1 dovecot -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
halfdog обнаружил возможность обхода аутентификации в почтовом сервере
Dovecot. При некоторых настройках Dovecot ошибочно доверяет имени пользователя,
передаваемому через механизм аутентификации, вместо вывода ошибки. Если допольнительная
проверка по паролю отсутствует, то это позволяет злоумышленнику входить в систему
от лица любого пользователя. Данной уязвимости подвержены только установки, использующие
следующие настройки:

auth_ssl_require_client_cert = yes
auth_ssl_username_from_cert = yes

В стабильном выпуске (stretch) эта проблема была исправлена в
версии 1:2.2.27-3+deb9u3.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
dovecot-core - 1:2.2.27-3+deb9u3
dovecot-dbg - 1:2.2.27-3+deb9u3
dovecot-dev - 1:2.2.27-3+deb9u3
dovecot-gssapi - 1:2.2.27-3+deb9u3
dovecot-imapd - 1:2.2.27-3+deb9u3
dovecot-ldap - 1:2.2.27-3+deb9u3
dovecot-lmtpd - 1:2.2.27-3+deb9u3
dovecot-lucene - 1:2.2.27-3+deb9u3
dovecot-managesieved - 1:2.2.27-3+deb9u3
dovecot-mysql - 1:2.2.27-3+deb9u3
dovecot-pgsql - 1:2.2.27-3+deb9u3
dovecot-pop3d - 1:2.2.27-3+deb9u3
dovecot-sieve - 1:2.2.27-3+deb9u3
dovecot-solr - 1:2.2.27-3+deb9u3
dovecot-sqlite - 1:2.2.27-3+deb9u3
Ссылки
http://www.debian.org/security/dsa-4385/

Источник: CVE
Наименование: CVE-2019-3814
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3814