База данных уязвимостей CVE

Отправка команды «NOOP (((...)))» с открытыми и закрытыми круглыми скобками 4000 приводит к дополнительному использованию памяти на ~ 1 МБ. Более длинные команды приведут к отключению клиента. Этот 1 МБ …

Учетные данные Doveadm проверяются с использованием прямого сравнения, которое подвержено атаке оракула по времени. Злоумышленник может использовать это для определения настроенных учетных данных. Выяснение учетных данных приведет к получению полного …

Аутентификация Dovecot OTP уязвима для атаки повторного воспроизведения при определенных условиях. Если кеш аутентификации включен и имя пользователя изменено в passdb, учетные данные OTP можно кэшировать, чтобы тот же ответ …

Аутентификацию на основе Dovecot SQL можно обойти, если администратор очистил auth_username_chars. Эта уязвимость позволяет обойти аутентификацию любого пользователя и перечисления пользователей. Не очищайте auth_username_chars. Если это невозможно, установите последнюю исправленную …

Если dovecot настроен на использование файлов passwd для каждого домена и они размещены на один компонент пути над /etc или к разрешенным символам добавлена ​​косая черта, обход пути может произойти, …

Команда ManageSieve AUTHENTICATE аварийно завершает работу при использовании литерала в качестве первоначального ответа SASL. Это можно использовать для многократного сбоя службы ManageSieve, что делает ее недоступной для других пользователей. Контролируйте …

Компания Dovecot предоставила сценарий для преобразования вложений в текст. Этот сценарий небезопасно обрабатывает вложения в формате zip. Злоумышленник может использовать специально созданные документы OOXML, чтобы вызвать индексацию нежелательных файлов в …

При отправке неверных данных SASL в формате base64 процесс входа в систему отключается от сервера аутентификации, что приводит к сбою всех активных сеансов аутентификации. Неверные данные BASE64 могут быть использованы …

В firewalld обнаружена ошибка. Локальный непривилегированный пользователь может воспользоваться этой уязвимостью, неправильно авторизовав два установщика D-Bus (Desktop Bus) во время выполнения: setZoneSettings2 и setPolicySettings. Эта неправильная авторизация позволяет пользователю изменять …

В OCaml до 4.14.3 Bigarray.reshape допускает целочисленное переполнение и результирующее чтение произвольной памяти при обработке ненадежных данных.