mutt-2.0.7-1.el8
エラータID: AXSA:2021-2863:01
リリース日:
2021/12/23 Thursday - 22:57
題名:
mutt-2.0.7-1.el8
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Mutt と NeoMutt には、IMAP サーバーに対して STARTTLS コマンドに失敗
した場合、設定 ssl_force_tls が有効であっても、暗号化されていない IMAP
接続を切断せずに認証を続けてしまう問題があるため、認証のクレデンシャル
情報が暗号化されていな通信路上や、中間のマシンに漏洩されてしまう脆弱性
があります。(CVE-2020-28896)
- Mutt の rfc822.c ファイルには表示名がないグループの終端を意味するセ
ミコロン文字列を RFC822 アドレスフィールドに含んだメッセージを処理する
際にメモリーが大量に消費する問題があり、リモートの攻撃者によって、他の
人からのメッセージを読むことができなくなる、サービス拒否状態に陥る脆弱
性があります。(CVE-2021-3181)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2020-28896
Mutt before 2.0.2 and NeoMutt before 2020-11-20 did not ensure that $ssl_force_tls was processed if an IMAP server's initial server response was invalid. The connection was not properly closed, and the code could continue attempting to authenticate. This could result in authentication credentials being exposed on an unencrypted connection, or to a machine-in-the-middle.
Mutt before 2.0.2 and NeoMutt before 2020-11-20 did not ensure that $ssl_force_tls was processed if an IMAP server's initial server response was invalid. The connection was not properly closed, and the code could continue attempting to authenticate. This could result in authentication credentials being exposed on an unencrypted connection, or to a machine-in-the-middle.
CVE-2021-3181
rfc822.c in Mutt through 2.0.4 allows remote attackers to cause a denial of service (mailbox unavailability) by sending email messages with sequences of semicolon characters in RFC822 address fields (aka terminators of empty groups). A small email message from the attacker can cause large memory consumption, and the victim may then be unable to see email messages from other persons.
rfc822.c in Mutt through 2.0.4 allows remote attackers to cause a denial of service (mailbox unavailability) by sending email messages with sequences of semicolon characters in RFC822 address fields (aka terminators of empty groups). A small email message from the attacker can cause large memory consumption, and the victim may then be unable to see email messages from other persons.
追加情報:
N/A
ダウンロード:
SRPMS
- mutt-2.0.7-1.el8.src.rpm
MD5: 660443417da55ab93b5d1766d38ca3a7
SHA-256: ae28d77c6a2b05c9b69a3195542548e7616db79133376c78fab1505359128dde
Size: 5.10 MB
Asianux Server 8 for x86_64
- mutt-2.0.7-1.el8.x86_64.rpm
MD5: 02711d2b44f8af62f3435febcb45d873
SHA-256: ad9001dbdc40eefca30449bfcb8cf5e9f1303de1643619d4fc97969e4717586e
Size: 1.92 MB