Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
dovecot-auth-lua
(any)
dovecot-core
(any)
dovecot-dbg
(any)
dovecot-dev
(any)
dovecot-gssapi
(any)
dovecot-imapd
(any)
dovecot-ldap
(any)
dovecot-lmtpd
(any)
dovecot-lucene
(any)
dovecot-managesieved
(any)
dovecot-mysql
(any)
dovecot-pgsql
(any)
dovecot-pop3d
(any)
dovecot-sieve
(any)
dovecot-solr
(any)
dovecot-sqlite
(any)
dovecot-submissiond
(any)
Описание
Ник Рёсслер и Ральф Рубин обнаружили, что в коде для грамматического разбора протоколов
IMAP и ManageSieve в почтовом сервере Dovecot неправильно выполняется проверка
входных данных (как перед, так и после выполнения входа). Удалённый злоумышленник может
использовать эту уязвимость для вызова записи за пределами выделенного буфера памяти,
что приводит к утечкам информации или потенциальному выполнению произвольного кода.
В предыдущем стабильном выпуске (stretch) эта проблема была исправлена
в версии 1:2.2.27-3+deb9u5.
В стабильном выпуске (buster) эта проблема была исправлена в
версии 1:2.3.4.1-5+deb10u1.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot
IMAP и ManageSieve в почтовом сервере Dovecot неправильно выполняется проверка
входных данных (как перед, так и после выполнения входа). Удалённый злоумышленник может
использовать эту уязвимость для вызова записи за пределами выделенного буфера памяти,
что приводит к утечкам информации или потенциальному выполнению произвольного кода.
В предыдущем стабильном выпуске (stretch) эта проблема была исправлена
в версии 1:2.2.27-3+deb9u5.
В стабильном выпуске (buster) эта проблема была исправлена в
версии 1:2.3.4.1-5+deb10u1.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot">https://security-tracker.debian.org/tracker/dovecot
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
dovecot-core - 1:2.2.27-3+deb9u5
dovecot-dbg - 1:2.2.27-3+deb9u5
dovecot-dev - 1:2.2.27-3+deb9u5
dovecot-gssapi - 1:2.2.27-3+deb9u5
dovecot-imapd - 1:2.2.27-3+deb9u5
dovecot-ldap - 1:2.2.27-3+deb9u5
dovecot-lmtpd - 1:2.2.27-3+deb9u5
dovecot-lucene - 1:2.2.27-3+deb9u5
dovecot-managesieved - 1:2.2.27-3+deb9u5
dovecot-mysql - 1:2.2.27-3+deb9u5
dovecot-pgsql - 1:2.2.27-3+deb9u5
dovecot-pop3d - 1:2.2.27-3+deb9u5
dovecot-sieve - 1:2.2.27-3+deb9u5
dovecot-solr - 1:2.2.27-3+deb9u5
dovecot-sqlite - 1:2.2.27-3+deb9u5
Debian GNU/Linux 1:
noarch:
dovecot-auth-lua - 1:2.3.4.1-5+deb10u1
dovecot-core - 1:2.3.4.1-5+deb10u1
dovecot-dev - 1:2.3.4.1-5+deb10u1
dovecot-gssapi - 1:2.3.4.1-5+deb10u1
dovecot-imapd - 1:2.3.4.1-5+deb10u1
dovecot-ldap - 1:2.3.4.1-5+deb10u1
dovecot-lmtpd - 1:2.3.4.1-5+deb10u1
dovecot-lucene - 1:2.3.4.1-5+deb10u1
dovecot-managesieved - 1:2.3.4.1-5+deb10u1
dovecot-mysql - 1:2.3.4.1-5+deb10u1
dovecot-pgsql - 1:2.3.4.1-5+deb10u1
dovecot-pop3d - 1:2.3.4.1-5+deb10u1
dovecot-sieve - 1:2.3.4.1-5+deb10u1
dovecot-solr - 1:2.3.4.1-5+deb10u1
dovecot-sqlite - 1:2.3.4.1-5+deb10u1
dovecot-submissiond - 1:2.3.4.1-5+deb10u1
Debian GNU/Linux 9:
noarch:
dovecot-core - 1:2.2.27-3+deb9u5
dovecot-dbg - 1:2.2.27-3+deb9u5
dovecot-dev - 1:2.2.27-3+deb9u5
dovecot-gssapi - 1:2.2.27-3+deb9u5
dovecot-imapd - 1:2.2.27-3+deb9u5
dovecot-ldap - 1:2.2.27-3+deb9u5
dovecot-lmtpd - 1:2.2.27-3+deb9u5
dovecot-lucene - 1:2.2.27-3+deb9u5
dovecot-managesieved - 1:2.2.27-3+deb9u5
dovecot-mysql - 1:2.2.27-3+deb9u5
dovecot-pgsql - 1:2.2.27-3+deb9u5
dovecot-pop3d - 1:2.2.27-3+deb9u5
dovecot-sieve - 1:2.2.27-3+deb9u5
dovecot-solr - 1:2.2.27-3+deb9u5
dovecot-sqlite - 1:2.2.27-3+deb9u5
Debian GNU/Linux 1:
noarch:
dovecot-auth-lua - 1:2.3.4.1-5+deb10u1
dovecot-core - 1:2.3.4.1-5+deb10u1
dovecot-dev - 1:2.3.4.1-5+deb10u1
dovecot-gssapi - 1:2.3.4.1-5+deb10u1
dovecot-imapd - 1:2.3.4.1-5+deb10u1
dovecot-ldap - 1:2.3.4.1-5+deb10u1
dovecot-lmtpd - 1:2.3.4.1-5+deb10u1
dovecot-lucene - 1:2.3.4.1-5+deb10u1
dovecot-managesieved - 1:2.3.4.1-5+deb10u1
dovecot-mysql - 1:2.3.4.1-5+deb10u1
dovecot-pgsql - 1:2.3.4.1-5+deb10u1
dovecot-pop3d - 1:2.3.4.1-5+deb10u1
dovecot-sieve - 1:2.3.4.1-5+deb10u1
dovecot-solr - 1:2.3.4.1-5+deb10u1
dovecot-sqlite - 1:2.3.4.1-5+deb10u1
dovecot-submissiond - 1:2.3.4.1-5+deb10u1
Ссылки
http://www.debian.org/security/dsa-4510/
Источник: CVE
Наименование: CVE-2019-11500
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11500
Источник: CVE
Наименование: CVE-2019-11500
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11500