Debian DLA-2234-1: netqmailセキュリティ更新

critical Nessus プラグイン ID 137154

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

srcに対していくつかのCVEバグが報告されました: netqmail

CVE-2005-1513

qmailのstralloc_readyplus関数の整数オーバーフローにより、大量の仮想メモリを搭載した64ビットプラットフォームで実行している場合、リモートの攻撃者がサービス拒否を引き起こしたり、大きなSMTPリクエストを介して任意のコードを実行したりする可能性があります。

CVE-2005-1514

qmailのcommands.cにより、大量の仮想メモリを搭載した64ビットプラットフォームで実行している場合、リモートの攻撃者がサービス拒否を引き起こしたり、スペース文字のない長いSMTPコマンドにより任意のコードを実行する可能性があります。これにより、配列が負のインデックスで参照される可能性があります。

CVE-2005-1515

qmailのqmail_putおよびsubstdio_put関数の整数符号エラーにより、大量の仮想メモリを搭載した64ビットプラットフォームで実行している場合、リモートの攻撃者がサービス拒否を引き起こしたり、大量のSMTP RCPT TOコマンドを介して任意のコードを実行したりする可能性があります。

CVE-2020-3811

netqmail 1.06で使用されるqmail-verifyは、メールアドレス検証バイパスの脆弱性の影響を受けやすくなっています。

CVE-2020-3812

netqmail 1.06で使用されるqmail-verifyは、情報漏洩の脆弱性の影響を受けやすくなっています。qmail-verifyがrootとして実行され、権限をドロップすることなく、攻撃者のホームディレクトリにファイルが存在するかどうかをテストするため、ローカルの攻撃者は、ファイルシステム内にあればどこであってもファイルやディレクトリの存在をテストできます。

Debian 8「Jessie」では、これらの問題はバージョン1.06-6.2~deb8u1で修正されました。

netqmailパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。