dovecotの複数の脆弱性情報(CVE-2020-7046, CVE-2020-7957)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

02/12/2020にdovecotの複数の脆弱性情報(CVE-2020-7046, CVE-2020-7957)が公開されていました。少し遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



CVSS/一次情報源

CVE番号影響するバージョンリファレンスPriorityCVSS
CVE-2020-7046 < 2.3.9.3

[Dovecot-news] CVE-2020-7046: Truncated UTF-8 can be used to DoS submission-login and lmtp processes

Vendor: 7.5

NVD: Vector: CVSS3.1:AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVE-2020-7957 < 2.3.9.3

[Dovecot-news] CVE-2020-7957: Specially crafted mail can crash snippet generation

NVD: 3.1

NVD: Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7046
    • CPUリソースの枯渇によるDoS
    • lib-smtpがトランケートされたコマンドパラメータをきちんと取り扱えていなかったため、プロセスが無限ループに陥りCPUを100%使ってしまう可能性があります。これはLMTPの際に発生し、認証されていないユーザがsubmission-loginを行うことがトリガーとなって発生します。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7957
    • 一部のメモリ上のコンテンツの不適切な開示
    • メッセージが複数のボディブロックを返せるのに充分な大きさで、最初のブロックがfull スニペットを含んでいる場合(すなわち、空白で満たされている場合)、かつ入力が”>”で終わる場合に、スニペット生成がクラッシュします。これにより、攻撃者が細工されたメールを用いて、メールボックスにアクセスできないようにしたり配送をスタックさせることが可能です。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。


セキュリティ系連載案内

セミナー情報1

2/26(水) 19:00から21:00で、恵比寿のRed Hat様(会場)にてOSSセキュリティ技術の会 第八回勉強会「KeycloakとmidPointの2000万パワーズの巻(仮)」を開催致します。

今回は、KeycloakやmidPointをテーマとし、さらに、Red Hat系のディープな技術者が集まるカンファレンスであるdevconf.czが1月末に開催され、最新のコンテナセキュリティからKeycloakまでセキュリティに関するトピックも扱われました。devconf.czに参加・講演して得られた情報の共有もいたします。

プログラム内容と申し込みの詳細につきましては、こちら(connpass)を御確認下さい。


タイトルとURLをコピーしました