检测

RHEL 6:dovecot (RHSA-2011:0600)

medium Nessus 插件 ID 54597

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 dovecot 程序包修复了两个安全问题并添加了一项增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Dovecot 是用于 Linux、UNIX 和类似操作系统的 IMAP 服务器,编写时主要考虑安全性。

在 Dovecot 处理 SIGCHLD 信号的方式中发现一个缺陷。如果大量 IMAP 或 POP3 会话断开连接导致 Dovecot 主进程快速收到这些信号,则可能导致主进程崩溃。(CVE-2010-3780)

在 Dovecot 处理为某个邮箱定义的多个访问控制列表 (ACL) 的方式中发现一个缺陷。在某些情况下,Dovecot 可能无法应用更多特定 ACL 条目,可能导致授予用户更多非预期的访问权限。(CVE-2010-3707)

此更新还添加了以下增强:

* 此勘误表将 Dovecot 升级到上游版本 2.0.9,提供“dsync”实用工具的多个补丁并提高了总体性能。安装此更新后,请参阅“/usr/share/doc/dovecot-2.0.9/ChangeLog”文件了解更多关于更改的信息。(BZ#637056)

建议 dovecot 用户升级这些更新后的程序包,其中解决了这些问题并添加此增强。安装更新后的程序包后,dovecot 服务将自动重新启动。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/cve/cve-2010-3707

https://access.redhat.com/security/cve/cve-2010-3780

https://access.redhat.com/errata/RHSA-2011:0600

插件详情

严重性: Medium

ID: 54597

文件名: redhat-RHSA-2011-0600.nasl

版本: 1.15

类型: local

代理: unix

发布时间: 2011/5/20

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 5.5

时间分数: 4.1

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:dovecot-mysql, p-cpe:/a:redhat:enterprise_linux:dovecot-pgsql, p-cpe:/a:redhat:enterprise_linux:dovecot-pigeonhole, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:dovecot, p-cpe:/a:redhat:enterprise_linux:dovecot-debuginfo, p-cpe:/a:redhat:enterprise_linux:dovecot-devel

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2011/5/19

漏洞发布日期: 2010/10/6

参考资料信息

CVE: CVE-2010-3707, CVE-2010-3780

BID: 43690

RHSA: 2011:0600