Π Seva za POP3/IMAP4 2.3.7.2 na 2.2.36.4, pamoja na katika nyongeza , kuondolewa (), ambayo hukuruhusu kuandika data zaidi ya bafa iliyotengwa kwa kutuma ombi iliyoundwa mahususi kupitia itifaki za IMAP au DhibitiSieve.
Tatizo linaweza kutumiwa katika hatua ya uthibitishaji wa awali. Unyonyaji wa kufanya kazi bado haujatayarishwa, lakini watengenezaji wa Dovecot hawaondoi uwezekano wa kutumia athari kupanga mashambulizi ya utekelezaji wa msimbo wa mbali kwenye mfumo au kuvuja data ya siri. Watumiaji wote wanapendekezwa kusakinisha sasisho mara moja (, , , , , , ).
Athari inapatikana katika vichanganuzi vya itifaki vya IMAP na DhibitiSieve na husababishwa na uchakataji usio sahihi wa vibambo batili wakati wa kuchanganua data ndani ya mifuatano iliyonukuliwa. Tatizo linapatikana kwa kuandika data kiholela kwa vitu vilivyohifadhiwa nje ya bafa iliyotengwa (hadi KB 8 inaweza kuandikwa juu ya hatua kabla ya uthibitishaji, na hadi 64 KB baada ya uthibitishaji).
Cha Kulingana na wahandisi kutoka Red Hat, kutumia tatizo kwa mashambulizi ya kweli ni vigumu kwa sababu mshambuliaji hawezi kudhibiti nafasi ya data kiholela overwrites katika lundo. Kwa kujibu, maoni yanaelezwa kuwa kipengele hiki kinachanganya kwa kiasi kikubwa mashambulizi, lakini haizuii utekelezaji wake - mshambuliaji anaweza kurudia jaribio la unyonyaji mara nyingi hadi atakapoingia kwenye eneo la kazi kwenye lundo.
Chanzo: opennet.ru