RHEL 6:dovecot (RHSA-2013:0520)
medium Nessus Plugin ID 64767
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 6 的更新版 dovecot 套件,可修正三個安全性問題和一個錯誤。Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
Dovecot 是一種適用於 Linux 和其他類似 Unix 系統的 IMAP 伺服器,編寫過程中首要注重安全性。其也包含小型的 POP3 伺服器。其支援 maildir 或 mbox 格式的郵件。所提供的 SQL 驅動程式和驗證外掛程式為子套件。
在 Dovecot 之 script-login 功能強制執行某些設定的方式中,發現兩個瑕疵。經過驗證的遠端使用者可利用這些瑕疵,繞過預定的存取限制,或利用登入指令碼發動目錄遊走攻擊。
(CVE-2011-2166、CVE-2011-2167)
將 Dovecot 設定為 Proxy IMAP 和 POP3 連線至使用 TLS/SSL 通訊協定的遠端主機時,在其執行遠端伺服器身分驗證的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵,使用由受信任的憑證授權單位 (為不同名稱) 所核發之 X.509 憑證,發動攔截式攻擊。(CVE-2011-4318)
此更新也可修正下列錯誤:
* 當新使用者首次存取其 IMAP 收件匣時,在某些情況下,Dovecot 無法變更使用者的 Maildir 位置之收件匣目錄的群組擁有權,以符合使用者之郵件緩衝區 (/var/mail/$USER) 的群組所有權。這會正確地產生「發生內部錯誤」訊息。不過,隨後嘗試存取收件匣時,Dovecot 認為該目錄已存在,並且繼續執行其作業,從而讓該目錄具有設定錯誤的權限。此更新可更正基礎權限設定錯誤。目前當新使用者首次存取其收件匣且無法設定群組擁有權時,Dovecot 會移除已建立的目錄,並產生錯誤訊息,而非保留具有錯誤群組擁有權的目錄。(BZ#697620)
建議 dovecot 使用者升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。安裝更新版套件之後,dovecot 服務會自動重新啟動。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/errata/RHSA-2013:0520
https://access.redhat.com/security/cve/cve-2011-2166
Plugin 詳細資訊
嚴重性: Medium
ID: 64767
檔案名稱: redhat-RHSA-2013-0520.nasl
版本: 1.14
類型: local
代理程式: unix
已發布: 2013/2/21
已更新: 2021/1/14
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:dovecot, p-cpe:/a:redhat:enterprise_linux:dovecot-debuginfo, p-cpe:/a:redhat:enterprise_linux:dovecot-devel, p-cpe:/a:redhat:enterprise_linux:dovecot-mysql, p-cpe:/a:redhat:enterprise_linux:dovecot-pgsql, p-cpe:/a:redhat:enterprise_linux:dovecot-pigeonhole, cpe:/o:redhat:enterprise_linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
修補程式發佈日期: 2013/2/21
弱點發布日期: 2011/5/24
參考資訊
CVE: CVE-2011-2166, CVE-2011-2167, CVE-2011-4318
RHSA: 2013:0520