Fedora 43:dovecot(2026-693373747f)

critical Nessus プラグイン ID 318284

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 43 ホストには、FEDORA-2026-693373747f のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

* CVE-2026-27851:lib-var-expand:安全フィルターは、以下のすべてのパイプラインを安全とマークします。
* CVE-2026-33603:auth:CRAM-SHA-*-PLUS チャネルバインディングが偽装される可能性があります。
クライアントが信頼する証明書のある MITM 攻撃者が、チャネルバインディングの要件をバイパスする可能性がありました。
* CVE-2026-40020:IMAP フォルダをだれでも共有スパム送信できます。
* CVE-2026-42006:攻撃者が、IMAP での過剰なブレースにより、制御されないメモリ使用率を引き起こすことがあります。CVE-2026-27857の修正は不完全でした。
* indexer-worker、quota-status、script-login、program-client-local:ルート権限は、リクエストに応える前に永久に破棄されるようになりました。
* indexer-worker:永続的な root 権限のドロップ後に正常に機能するように、デフォルトのrestart_request_countが 1 に変更されました。
* lmtp:v2.4.3 で誤って削除された service_extra_groups=$SET:d efault_internal_group を戻して追加します。
* マスター:inet_listener_reuse_port は service_reuse_port に置換されました。
新しい設定では、起動時にすべてのリスナーソケットが適切に事前作成され、プロセスごとに一意のソケットが割り当てられます。これにより、ログインプロセスへの着信接続を均等に分散できます。

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。