检测

iracleLinux 3cyrus-imapd-2.3.7-7AXS3.3 (AXSA:2009-400:02)

critical Nessus 插件 ID 284005

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程MiracleLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2009-400:02 公告中提及的多个漏洞的影响。

 cyrus-imapd 程序包包含 Cyrus IMAP 服务器的核心。
 它是可扩展的企业邮件系统,设计用于使用基于标准的 Internet 邮件技术的各种小型企业环境。
 完整的 Cyrus IMAP 实现允许跨多个服务器设置无缝的邮件和公告板环境。它与其他 IMAP 服务器实现的不同之处在于它在密封服务器上运行其中用户通常无权登录并且在服务器上没有系统帐户。邮箱数据库存储在 Cyrus IMAP 服务器私有的部分文件系统中。用户对邮件的所有访问均通过使用 IMAP、POP3 或 KPOP 协议的软件进行。它还包括对虚拟域、NNTP、邮箱注释等的支持。私人邮箱数据库设计使服务器在效率、可扩展性和可管理性方面具有巨大优点。允许对同一个邮箱建立多个并发读取/写入连接。服务器支持邮箱的访问控制列表和邮箱层次结构的存储配额。
 Cyrus IMAP 服务器支持 RFC 3501 中描述的 IMAP4rev1 协议。IMAP4rev1 已被批准为提议的标准。它支持 SASL 库中提供的任何身份验证机制可使用 imaps/pop3s/nntps使用 SSL 和 TLSv1 加密的 IMAP/POP3/NNTP 来确保安全。在可能的情况下服务器支持单实例存储将电子邮件消息发送给多个收件人时SIEVE 会提供服务器端电子邮件筛选。
 此版本修复的安全缺陷
 CVE-2009-2632 在 Cyrus IMAP Server 2.2.13 和 2.3.14以及 Dovecot 之前的 [] 1.01.0.4 和 之前的 1.11.1.7的 cyrus-imapd 中使用时SIEVE 脚本组件 (sieve/script.c) 中的缓冲区溢出允许本地用户可通过构建的 SIEVE 脚本执行任意代码和读取或修改任意消息与不正确使用 sizeof 运算符确定缓冲区长度以及整数符号错误有关。
 CVE-2009-3235 在源自 1.0.4 Cyrus 1.1 libsieve的 Dovecot 中 1.0 Sieve插件存在多个基于堆栈 1.1.7的缓冲区溢出通过构建的 SIEVE 脚本执行代码将电子邮件消息转发给大量收件人即为一例此漏洞与 CVE-2009-2632不同。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/1038

插件详情

严重性: Critical

ID: 284005

文件名: miracle_linux_AXSA-2009-400.nasl

版本: 1.1

类型: local

发布时间: 2026/1/14

最近更新时间: 2026/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2009-3235

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:cyrus-imapd, p-cpe:/a:miracle:linux:cyrus-imapd-devel, p-cpe:/a:miracle:linux:cyrus-imapd-perl, p-cpe:/a:miracle:linux:cyrus-imapd-utils

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2009/9/27

漏洞发布日期: 2009/9/8

参考资料信息

CVE: CVE-2009-2632, CVE-2009-3235