openSUSE 16 セキュリティ更新dovecot24openSUSE-SU-2025-20113-1]
high Nessus プラグイン ID 277015
Language:
概要
リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。説明
リモートの openSUSE 16 ホストには、openSUSE- SU-2025-20113-1 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。- dovecot を に更新してください 2.4.2
- CVE-2025-30189認証キャッシュが有効な際に同じキャッシュキーでキャッシュするユーザーを修正しましたbsc#1252839
- 変更
- authproxy_always フィールドを削除します。
- configpython3 を使用するように設定履歴解析を変更します。
- doveadmテーブルフォーマッターの印刷 - 空の値を として印刷 - として印刷。
- imapcリモートエラーコードを適切に伝播します。
- ldauserdb 検索を使用しない場合、デフォルトの mail_home=$HOME 環境になります
- lib-dcrypt新しいバージョン 2 キーのソルトが 16 バイトに増加されました。
- lib-dregexlibpcre2 ベースの正規表現サポートを Dovecot に追加します。ライブラリがない場合は、すべての正規表現を無効にします。これにより、ビルド依存関係として libpcre2-32 が追加されます。
- lib-oauth2jwt - nbf および iat が 1 秒を未来を指し示すことを許可します。
- liblibicu を独自の unicode ライブラリで置換します。ビルド依存関係として libicu を削除。
- login-commonリモートに無効な SSL 証明書があるためにプロキシが失敗した場合、再接続しません。
- 新機能
- authssl_client_cert_fp および ssl_client_cert_pubkey_fp フィールドを追加します
- config $SET:filter/path/setting のサポートを追加します。
- config設定の上書きが動作するように @group が改善されます。
- doveadmkick複数のユーザー名をキックするためのサポートを追加します
- doveadm mailbox status削除されたステータス項目に対するサポートを追加します。
- imap、imap-client実験的な部分的 IMAP4rev2 サポートを追加します。
- imapAPPEND に対する UTF8=ACCEPT のサポートを実装します
- lib-oauth2、oauth2oauth2_token_expire_grace 設定を追加します。
- lmtplmtp-client - コマンドパイプラインをサポートします。
- login-commonローカル/リモートブロックをより適切にサポートします。
- マスター子プロセスを作成して処理する前に、unix/inet 接続を accept() します。これにより、子プロセス自体の生成が遅い場合にタイムアウトが短縮されます。
- バグ修正
- 有効でない場合でも、SMTPUTF8 が受け入れられていました。
- auth、*-login-L パラメーターでのダイレクトロギングが機能しませんでした。
- authOAUTH トークン検証が oauth2_use_worker_with_mech=yes で失敗した場合にクラッシュが発生しました。
- auth無効なフィールド処理クラッシュが修正されました。
- authldap - deinit でクラッシュが発生する可能性があります。
- authmech-gssapi - 空の初期応答を送信するサーバーがエラーを起こす可能性があります。
- authmech-winbind - GSS-SPNEGO メカニズムが誤って としてマークされていました
- NULL を受け入れません。
- config $SET 処理に関する複数の問題が修正されました。
- configureLDAP なしの構築は機能しませんでした。
- doveadmソースユーザーが存在しない場合、クラッシュが発生します。
- imap、pop3、submission、imap-urlauthスタンドアロンで実行している場合に、USER 環境の使用率が破損しました。
- imap-hibernate統計がハイバネーション解除で切り捨てられる可能性があります。
- imapSEARCH MIMEPART FILENAME ENDS コマンドが割り当てられたバッファ外のメモリにアクセスする可能性があります。これにより、クラッシュが発生します。
- imapc部分的なヘッダーをフェッチすると、他のキャッシュされたヘッダーが空にキャッシュされ、ディスクにキャッシュするとき、たとえば imap エンベロープ応答が壊れます。
- imapc共有名前空間の INBOX メールボックスが、必ずしも大文字ではありませんでした。
- imapcimapc_features=guid-forced GUID 生成が正しく動作しませんでした。
- lda-d が指定されていない場合、USER 環境は受け入れられませんでした。
- lib-httphttp-url - 解析と作成を通じた顕著なパスパーセントエンコーディングが保存されませんでした。これは主に、lib-http に対する Dovecot の Lua バインディングで重要です。
- lib-settingsSET_FILE タイプ設定で %variables を使用する際にクラッシュが発生します。
- lib-storagemail_attachment_flags=add-flags で読み取り専用メールボックスに添付ファイルフラグを追加しようとしていました。
- lib-storage使用できない共有名前空間用の root ディレクトリが、不必要に作成により試行されていました。
- lib構成がリロードされ、syslog にロギングされると、クラッシュが発生しました。
- login-commonログインプロキシが破壊された際にクラッシュが発生する可能性がありました。
- sqlitesqlite_journal_mode=wal 設定は、実際には何もしませんでした。
- その他の多数のバグが修正されました。
- pigeonhole を に更新してください 2.4.2
- 変更
- lib-sieveコアで新しい正規表現ライブラリを使用します。
- managedsieveデフォルトの service_extra_groups=$SET:default_internal_group を追加します。
- 新機能
- lib-sieveextlists 拡張に対するサポートを追加します。
- lib-sieveregex - unicode コンパレーターを許可します。
- バグ修正
- lib-sieve-toolsieve-tool - すべての sieve_script 設定がオーバーライドされました。
- lib-sievestoragedictsieve_script_dict フィルターが設定にありませんでした。
- sieve-ldap-storageLDAP なしでコンパイルを修正します。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 277015
ファイル名: openSUSE-2025-20113-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/12/2
更新日: 2025/12/2
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2025-30189
CVSS v3
リスクファクター: High
基本値: 7.4
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:dovecot24-backend-pgsql, p-cpe:/a:novell:opensuse:dovecot24-devel, p-cpe:/a:novell:opensuse:dovecot24, p-cpe:/a:novell:opensuse:dovecot24-fts-flatcurve, p-cpe:/a:novell:opensuse:dovecot24-backend-sqlite, p-cpe:/a:novell:opensuse:dovecot24-fts, p-cpe:/a:novell:opensuse:dovecot24-backend-mysql, p-cpe:/a:novell:opensuse:dovecot24-fts-solr
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/11/27
脆弱性公開日: 2025/10/31
参照情報
CVE: CVE-2025-30189