openSUSEセキュリティ更新プログラム:dovecot22 (openSUSE-2017-787)
high Nessus プラグイン ID 101284
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このバージョン2.2.30.2へのdovecot22の更新では、次の問題が修正されます:以下のセキュリティの問題が修正されました。
- CVE-2017-2669: キーで%variablesを二重拡張しないでください。
dictが認証passdbとして使用された場合、ユーザー名に特別に細工された%variablesを使用すると、DoSが引き起こされる可能性があります(bsc#1032248)
また、より強力なSSLデフォルト暗号が使用されるようになりました。
以下の非セキュリティの問題が修正されました。
- すべての参照/etc/ssl/certs/を削除しますこれは今後使用すべきではありません(bsc#932386)
バージョン2.2.30.2には多数の修正と機能強化も含まれています:
- 短時間内に複数の認証が失敗すると、クラッシュが発生しました。
- パスワードに関連するすべての処理でtiming-safe比較を使用します。
- マスタープロセスがシャットダウン時にすべての実行中の子に対し、すべてのソケットリスナーを速やかに閉じるように指示するSIGQUITを送信します。リスナーを長時間開いたままにしておくプロセスがあることが原因でDovecotの再起動が失敗することがなくなりました。
- 別のpassdb検索と一致させるためpassdb ( mechanisms=none )を追加します
- passdb ( username_filter ) を追加して、ユーザーがフィルターに一致した場合のみpassdbを使用するようにします。
- dsync_commit_msgs_interval設定を追加します。これは、多数の新しいメッセージを保存した後にトランザクションのコミットを試みます。
- ESEARCH拡張なしでimapc_features = searchをサポートします。
- リモートサーバーのFETCH BODYおよびBODYSTRUCTUREをパススルーため、imapc_features = fetch-bodystructureを追加します。
- リモートサーバーでGETQUOTA / GETQUOTAROOTを使用するためquota=imapcバックエンドを追加します。
- allow_invalid_certおよびssl_ca_fileパラメーターを追加します。
- dovecot.index.cacheの破損が検出された場合は、ファイル全体ではなく、破損した1つのメールのみをリセットしてください。
- doveadmメールボックスステータスに「firstsaved」フィールドを追加します。
- 古いホストのup/downおよびvhostカウントをパラメーターとしてdirector_flush_socketに追加します。
- dovecot.list.indexの破損を自動的に修正するための追加の修正。
- dsync_features = empty-header-workaroundのサポートを修正します。
- IMAPクライアントがCONDSTORE / QRESYNCによりmodseqトラッキングを有効にしていない場合、IMAP NOTIFYがINBOX以外に対して機能しませんでした。
- mbox形式で再び機能するようにfts-luceneを修正します。
- v2.2.29で一部の内部エラーメッセージにガベージが含まれていることがありました。
- メールおよびメールボックスごとの鍵のコピー/移動の使用時に再暗号化を実行します。このようにしないと、コピーされたメールを開くことができません。
この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。
ソリューション
影響を受けるdovecot22パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1032248
プラグインの詳細
深刻度: High
ID: 101284
ファイル名: openSUSE-2017-787.nasl
バージョン: 3.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/7/7
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:dovecot22, p-cpe:/a:novell:opensuse:dovecot22-backend-mysql, p-cpe:/a:novell:opensuse:dovecot22-backend-mysql-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-backend-pgsql, p-cpe:/a:novell:opensuse:dovecot22-backend-pgsql-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-backend-sqlite, p-cpe:/a:novell:opensuse:dovecot22-backend-sqlite-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-debugsource, p-cpe:/a:novell:opensuse:dovecot22-devel, p-cpe:/a:novell:opensuse:dovecot22-fts, p-cpe:/a:novell:opensuse:dovecot22-fts-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-fts-lucene, p-cpe:/a:novell:opensuse:dovecot22-fts-lucene-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-fts-solr, p-cpe:/a:novell:opensuse:dovecot22-fts-solr-debuginfo, p-cpe:/a:novell:opensuse:dovecot22-fts-squat, p-cpe:/a:novell:opensuse:dovecot22-fts-squat-debuginfo, cpe:/o:novell:opensuse:42.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2017/7/6
脆弱性公開日: 2018/6/21
参照情報
CVE: CVE-2017-2669