በDovecot IMAP አገልጋይ ውስጥ ወሳኝ ተጋላጭነት

В የማስተካከያ ልቀቶች POP3/IMAP4 አገልጋዮች Dovecot 2.3.7.2 እና 2.2.36.4, እንዲሁም በማሟያ ውስጥ የእርግብ ጉድጓድ 0.5.7.2 እና 0.4.24.2 , ተወግዷል ወሳኝ ተጋላጭነት (CVE-2019-11500), በልዩ ሁኔታ የተነደፈ ጥያቄን በ IMAP ወይም ManageSieve ፕሮቶኮሎች በኩል በመላክ ከተመደበው ቋት በላይ መረጃ እንዲጽፉ ያስችልዎታል።

ችግሩ በቅድመ-ማረጋገጫ ደረጃ ላይ ጥቅም ላይ ሊውል ይችላል. የሚሰራ ብዝበዛ ገና አልተዘጋጀም ነገር ግን Dovecot ገንቢዎች በስርዓቱ ላይ የርቀት ኮድ ማስፈጸሚያ ጥቃቶችን ለማደራጀት ወይም ሚስጥራዊ መረጃዎችን ለማውጣት ተጋላጭነቱን የመጠቀም እድልን አይሰርዙም። ሁሉም ተጠቃሚዎች ዝማኔዎችን ወዲያውኑ እንዲጭኑ ይመከራሉ (ደቢያን, Fedora, አርክ ሊንክ, ኡቡንቱ, SUSE, RHEL, FreeBSD).

ተጋላጭነቱ በ IMAP እና ManageSieve ፕሮቶኮል ተንታኞች ውስጥ አለ እና በተጠቀሱት ሕብረቁምፊዎች ውስጥ ያለ ውሂብ ሲተነተን ባዶ ቁምፊዎችን በስህተት በማስኬድ ምክንያት የሚከሰት ነው። ችግሩ የተገኘው ከተመደበው ቋት ውጭ ለተከማቹ ዕቃዎች የዘፈቀደ መረጃ በመፃፍ ነው (እስከ 8 ኪባ ከመረጋገጡ በፊት በደረጃው ላይ ሊፃፍ ይችላል ፣ እና ከተረጋገጠ በኋላ እስከ 64 ኪባ)።

በ አስተያየት ከቀይ ኮፍያ የመጡ መሐንዲሶች ችግሩን ለትክክለኛ ጥቃቶች መጠቀምን አስቸጋሪ እያደረጉት ነው ምክንያቱም አጥቂው በዘፈቀደ የተጻፈውን መረጃ በክምር ውስጥ ያለውን ቦታ መቆጣጠር አይችልም. በምላሹ አስተያየቱ ይህ ባህሪ ጥቃቱን በከፍተኛ ሁኔታ ያወሳስበዋል, ነገር ግን አፈፃፀሙን አያስቀርም - አጥቂው ወደ ሥራው ክምር ውስጥ እስኪገባ ድረስ ብዙ ጊዜ የብዝበዛ ሙከራውን ሊደግም ይችላል.

ምንጭ: opennet.ru