Fedora 15:cyrus-imapd-2.4.12-1.fc15 (2011-13860)
high Nessus 插件 ID 56486
语言:
简介
远程 Fedora 主机缺少安全更新。描述
- 安全补丁:- 修复了nntpd 中不完整的认证检查 (Secunia SA46093)
- 修复的其他缺陷:
- 由于名称无效,推迟的删除可能失败
- cyradm 无法对邮箱中的 ACL 进行带通配符的删除
- 启用结果错误(双重名称)
- 远程邮箱的 mbpath 输出从 2.3 更改为 2.4
- xfer 在无限配额上失败 (-1)
CVE-2011-3208 cyrus-imapd:split_wildmats() 中的 nntpd 缓冲区溢出
修复的缺陷:
3495 P1 增强 2.4.10 Cyrus IMAP 改进了重复抑制 3498 P1 缺陷 2.4.10 Cyrus IMAP 配额命令删除用户的配额文件 2772 P2 缺陷 2.4.x(下个版本)Cyrus IMAP cmd_thread 核心的引用标头中存在虚假的 ID 3300 P3 缺陷 2.4.2 Cyrus IMAP SOL_TCP 未在 NetBSD 上定义 3439 P3 缺陷 2.3.16 Cyrus IMAP 登录时存在格式问题(或内存损坏?)3454 P3 缺陷 2.4.8 Cyrus IMAP 不接受带有未结束的 id_param_list 密钥的 ID 3463 P3 缺陷 2.4.x(下个版本)Cyrus IMAP 如果使用服务器端线程,某些邮件可能导致 imapd 崩溃 3489 P3 缺陷 2.4.10 Cyrus IMAP 2.4.10 和配额问题 3491 P3 增强 2.4.10 Cyrus IMAP timsieved 中的 UNAUTHENTICATE 和 NOOP 3492 P3 缺陷 2.4.10 Cyrus IMAP 向 timsieved 添加响应代码 3497 P3 缺陷 2.4.10 Cyrus IMAP 在 master/master.c:add_service 中,在系统日志记录之前,变量“cmd”设为 NULL 3503 P3 缺陷 2.4.10 Cyrus IMAP DragonFly BSD 也要求 PIC 对象以 perl 编写 3505 P3 缺陷 2.4.x(下个版本)Cyrus IMAP sync_reset 已损坏 3506 P3 缺陷 2.4.x(下个版本)Cyrus IMAP dlist.c 使用没有反向通道的同步 IMAP LITERALS。3507 P3 缺陷 2.4.x(下个版本)Cyrus IMAP 默认和立即删除模式中的副本核对失败 3526 P3 缺陷 2.4.10 Cyrus IMAP AFS ptloader 重新初始化使用本地单元格代替 afspts_mycell 配置选项 3532 P3 增强 2.5.x(下个版本)Cyrus IMAP 补丁文件描述符清除 3279 P5 缺陷 2.4.2 Cyrus IMAP 在 TLS 启动前,因空 mech_list 导致 sync_client 崩溃 3451 P5 增强 2.4.8 Cyrus IMAP config2header 假设 CC 没有空间
- 重新构建以匹配 db 库更新
- 不与 db4-utils 冲突
- 重新构建以匹配 db 库更新 CVE-2011-3208 cyrus-imapd:split_wildmats() 中的 nntpd 缓冲区溢出
修复的缺陷:
3495 P1 增强 2.4.10 Cyrus IMAP 改进了重复抑制 3498 P1 缺陷 2.4.10 Cyrus IMAP 配额命令删除用户的配额文件 2772 P2 缺陷 2.4.x(下个版本)Cyrus IMAP cmd_thread 核心的引用标头中存在虚假的 ID 3300 P3 缺陷 2.4.2 Cyrus IMAP SOL_TCP 未在 NetBSD 上定义 3439 P3 缺陷 2.3.16 Cyrus IMAP 登录时存在格式问题(或内存损坏?)3454 P3 缺陷 2.4.8 Cyrus IMAP 不接受带有未结束的 id_param_list 密钥的 ID 3463 P3 缺陷 2.4.x(下个版本)Cyrus IMAP 如果使用服务器端线程,某些邮件可能导致 imapd 崩溃 3489 P3 缺陷 2.4.10 Cyrus IMAP 2.4.10 和配额问题 3491 P3 增强 2.4.10 Cyrus IMAP timsieved 中的 UNAUTHENTICATE 和 NOOP 3492 P3 缺陷 2.4.10 Cyrus IMAP 向 timsieved 添加响应代码 3497 P3 缺陷 2.4.10 Cyrus IMAP 在 master/master.c:add_service 中,在系统日志记录之前,变量“cmd”设为 NULL 3503 P3 缺陷 2.4.10 Cyrus IMAP DragonFly BSD 也要求 PIC 对象以 perl 编写 3505 P3 缺陷 2.4.x(下个版本)Cyrus IMAP sync_reset 已损坏 3506 P3 缺陷 2.4.x(下个版本)Cyrus IMAP dlist.c 使用没有反向通道的同步 IMAP LITERALS。3507 P3 缺陷 2.4.x(下个版本)Cyrus IMAP 默认和立即删除模式中的副本核对失败 3526 P3 缺陷 2.4.10 Cyrus IMAP AFS ptloader 重新初始化使用本地单元格代替 afspts_mycell 配置选项 3532 P3 增强 2.5.x(下个版本)Cyrus IMAP 补丁文件描述符清除 3279 P5 缺陷 2.4.2 Cyrus IMAP 在 TLS 启动前,因空 mech_list 导致 sync_client 崩溃 3451 P5 增强 2.4.8 Cyrus IMAP config2header 假设 CC 没有空间
- 重新构建以匹配 db 库更新
- 不与 db4-utils 冲突
- 重新构建以匹配 db 库更新
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的 cyrus-imapd 程序包。另见
http://www.nessus.org/u?51e80815
插件详情
严重性: High
ID: 56486
文件名: fedora_2011-13860.nasl
版本: 1.12
类型: local
代理: unix
发布时间: 2011/10/14
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:cyrus-imapd, cpe:/o:fedoraproject:fedora:15
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2011/10/5
漏洞发布日期: 2011/9/14
参考资料信息
CVE: CVE-2011-3208
BID: 49534
FEDORA: 2011-13860