U radu programskog paketa Dovecot uočen je i ispravljen sigurnosni propust kojeg udaljeni napadač može iskoristiti za otkrivanje osjetljivih informacija.
Paket:
Dovecot 1.x
Operacijski sustavi:
Ubuntu Linux 11.10
Kritičnost:
5.8
Problem:
neodgovarajuća provjera ulaznih podataka
Iskorištavanje:
udaljeno
Posljedica:
otkrivanje osjetljivih informacija
Rješenje:
programska zakrpa proizvođača
CVE:
CVE-2011-4318
Izvorni ID preporuke:
USN-1295-1
Izvor:
Ubuntu
Problem:
Problem sigurnosti se javlja zbog pogrešne provjere imena certifikata ukoliko se programski paket koristi kao POP3 i IMAP posredni poslužitelj.
Posljedica:
Udaljeni napadač navedenu ranjivost može iskoristiti za pregled osjetljivih podataka.
Rješenje:
Svim se korisnicima navedenog programskog paketa savjetuje korištenje dostupnih programskih nadogradnji i zakrpa.
==========================================================================
Ubuntu Security Notice USN-1295-1
December 08, 2011
dovecot vulnerability
==========================================================================
A security issue affects these releases of Ubuntu and its derivatives:
- Ubuntu 11.10
Summary:
Dovecot could be made to expose sensitive information over the network.
Software Description:
- dovecot: IMAP and POP3 email server
Details:
It was discovered that Dovecot incorrectly validated certificate hostnames
when being used as a POP3 and IMAP proxy. If a remote attacker were able to
perform a man-in-the-middle attack, this flaw could be exploited to view
sensitive information.
Update instructions:
The problem can be corrected by updating your system to the following
package versions:
Ubuntu 11.10:
dovecot-common 1:2.0.13-1ubuntu3.2
In general, a standard system update will make all the necessary changes.
References:
http://www.ubuntu.com/usn/usn-1295-1
CVE-2011-4318
Package Information:
https://launchpad.net/ubuntu/+source/dovecot/1:2.0.13-1ubuntu3.2
Posljednje sigurnosne preporuke