Ubuntu 10.04 LTS/10.10:Dovecotの脆弱性(USN-1059-1)
medium Nessus プラグイン ID 51900
Language:
概要
リモートのUbuntuホストに1つまたは複数のセキュリティ関連のパッチがありません。説明
Dovecot の ACL プラグインが、ACL を新しいメールボックスに不適切に伝播することが判明しました。認証されたリモートユーザーが、誤った ACL で作成された新しいメールボックスを読み取る可能性があります。(CVE-2010-3304)
Dovecot の ACL プラグインが、特定の状況で ACL を不適切にマージすることが判明しました。認証されたリモートユーザーが、これらの欠陥を利用して、本来守られるべきアクセス制限をバイパスしたり、メールボックスへアクセスできるようになったりする可能性があります。(CVE-2010-3706、CVE-2010-3707)
Dovecot の ACL プラグインが、特定のメールボックスの所有者に管理者権限を不適切に付与することが判明しました。認証されたリモートユーザーが、これらの欠陥を利用して、本来守られるべきアクセス制限をバイパスしたり、メールボックスへアクセスできるようになったりする可能性があります。(CVE-2010-3779)
Dovecot が、多数のセッションの同時接続解除を不適切に処理することが判明しました。認証されたリモートユーザーがこの欠陥を利用して、Dovecotをクラッシュさせて、サービス拒否を引き起こす可能性があります。(CVE-2010-3780)
注意: Tenable Network Securityは、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 51900
ファイル名: ubuntu_USN-1059-1.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2011/2/8
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:dovecot, p-cpe:/a:canonical:ubuntu_linux:dovecot-common, p-cpe:/a:canonical:ubuntu_linux:dovecot-dbg, p-cpe:/a:canonical:ubuntu_linux:dovecot-dev, p-cpe:/a:canonical:ubuntu_linux:dovecot-imapd, p-cpe:/a:canonical:ubuntu_linux:dovecot-pop3d, p-cpe:/a:canonical:ubuntu_linux:dovecot-postfix, p-cpe:/a:canonical:ubuntu_linux:mail-stack-delivery, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:10.10
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2011/2/7
脆弱性公開日: 2010/9/24
参照情報
CVE: CVE-2010-3304, CVE-2010-3706, CVE-2010-3707, CVE-2010-3779, CVE-2010-3780
USN: 1059-1