Dovecot IMAP ဆာဗာရှိ အရေးပါသော အားနည်းချက်

В မှန်ကန်သော ထုတ်ပြန်ချက်များ POP3/IMAP4 ဆာဗာများ Dovecot 2.3.7.2 နှင့် 2.2.36.4 တို့အပြင် ဓာတ်၌ပါရှိသည်။ Pigeonhole 0.5.7.2 နှင့် 0.4.24.2 ဖယ်ထုတ်ပစ်လိုက်တယ်။ ဝေဖန်ပိုင်းခြားနိုင်သော အားနည်းချက် (CVE-2019-11500IMAP သို့မဟုတ် ManageSieve ပရိုတိုကောများမှတစ်ဆင့် အထူးဒီဇိုင်းထုတ်ထားသော တောင်းဆိုချက်တစ်ခုကို ပေးပို့ခြင်းဖြင့် ခွဲဝေသတ်မှတ်ထားသော ကြားခံထက်ကျော်လွန်၍ ဒေတာများကို ရေးသားနိုင်စေပါသည်။

အထောက်အထားစိစစ်ခြင်းအကြိုအဆင့်တွင် ပြဿနာကို အသုံးချနိုင်သည်။ အလုပ်လုပ်သော exploit ကို မပြင်ဆင်ရသေးသော်လည်း Dovecot developer များသည် system ပေါ်တွင် remote code execution attacks များကို စုစည်းရန် သို့မဟုတ် လျှို့ဝှက်အချက်အလက်များပေါက်ကြားရန် အားနည်းချက်ကို အသုံးပြု၍ရနိုင်ခြေကို မဆုံးဖြတ်ထားပေ။ အသုံးပြုသူအားလုံးကို အပ်ဒိတ်များကို ချက်ချင်းထည့်သွင်းရန် အကြံပြုထားသည် (debian, Fedora, Arch Linux ကို, Ubuntu ကို, suse, RHEL, FreeBSD).

အားနည်းချက်သည် IMAP နှင့် ManageSieve ပရိုတိုကော ခွဲခြမ်းစိတ်ဖြာခြင်းများတွင် ရှိနေပြီး ကိုးကားထားသောစာကြောင်းများအတွင်း ဒေတာကိုခွဲခြမ်းစိတ်ဖြာသည့်အခါ null စာလုံးများကို မှားယွင်းစွာလုပ်ဆောင်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ခွဲဝေပေးထားသော ကြားခံပြင်ပတွင် သိမ်းဆည်းထားသည့် အရာများထံ မထင်သလိုဒေတာများကို ရေးသားခြင်းဖြင့် ပြဿနာဖြစ်နိုင်သည် (အထောက်အထားမခိုင်လုံမီ အဆင့်တွင် 8 KB အထိ ထပ်ရေးနိုင်ပြီး၊ အထောက်အထားစိစစ်ပြီးနောက် 64 KB အထိ) ပြဿနာကို အောင်မြင်နိုင်သည်။

အပေါ် ထင်မြင်ချက် Red Hat မှ အင်ဂျင်နီယာများ အဆိုအရ၊ တိုက်ခိုက်သူသည် အမှိုက်ပုံတွင် မထင်သလို ဒေတာများ ထပ်ရေးမည့် နေရာကို မထိန်းချုပ်နိုင်သောကြောင့် အစစ်အမှန် တိုက်ခိုက်မှုများအတွက် ပြဿနာကို အသုံးပြုရန် ခက်ခဲပါသည်။ တုံ့ပြန်မှုတွင်၊ ဤအင်္ဂါရပ်သည် တိုက်ခိုက်မှုကို သိသာထင်ရှားစွာ ရှုပ်ထွေးစေသော်လည်း ၎င်း၏ အကောင်အထည်ဖော်မှုကို ဖယ်ထုတ်ထားခြင်းမရှိ - တိုက်ခိုက်သူသည် အမှိုက်ပုံရှိ အလုပ်ဧရိယာသို့ မရောက်ရှိမချင်း အကြိမ်ပေါင်းများစွာ အမြတ်ထုတ်ရန် ကြိုးပမ်းမှုကို ထပ်မံပြုလုပ်နိုင်သည်။

source: opennet.ru