В
Il problema può essere sfruttato nella fase di pre-autenticazione. Non è stato ancora preparato un exploit funzionante, ma gli sviluppatori di Dovecot non escludono la possibilità di utilizzare la vulnerabilità per organizzare attacchi di esecuzione remota di codice sul sistema o per divulgare dati riservati. Si consiglia a tutti gli utenti di installare immediatamente gli aggiornamenti (
La vulnerabilità esiste nei parser del protocollo IMAP e ManageSieve ed è causata dall'elaborazione errata di caratteri nulli durante l'analisi dei dati all'interno di stringhe tra virgolette. Il problema viene risolto scrivendo dati arbitrari su oggetti archiviati all'esterno del buffer allocato (è possibile sovrascrivere fino a 8 KB nella fase precedente all'autenticazione e fino a 64 KB dopo l'autenticazione).
Su
Fonte: opennet.ru