Debian DLA-3066-1: isync - LTS セキュリティ更新

critical Nessus プラグイン ID 162682

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 9 ホストには、dla-3066 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- v1.3.5 および v1.4.1 より前の mbsync に欠陥が見つかりました。IMAP LIST/LSUB によって返されるメールボックス名の検証が発生しないため、悪意のある、または侵害されたサーバーが、「..」パスコンポーネントを含む特別に細工されたメールボックス名を使用して、同期チャネルの反対側にある指定メールボックス外のデータにアクセスする可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性です。(CVE-2021-20247)

- v1.3.6 および v1.4.2 より前の mbsync に欠陥が見つかりました。チェックされていないポインターキャストにより、悪意のあるサーバーまたは侵害されたサーバーが、予期しない APPENDUID 応答を発行することで、ヒープに割り当てられた構造体の末尾を超えて任意の整数値を書き込む可能性があります。これにより、クライアントでのリモートコード実行に悪用される可能性があります。(CVE-2021-3578)

- 1.4.4 より前のバージョンで mbsync に欠陥が見つかりました。極端に大きな (>=2GiB) IMAP リテラルの処理が不適切なために、悪意のあるまたは侵害された IMAP サーバー、および仮想的には外部の電子メール送信者でさえ、いくつかの異なるバッファオーバーフローを引き起こし、リモートコード実行に悪用される可能性があります。(CVE-2021-3657)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。