Рекомендация Debian по безопасности

DLA-0021-1 fail2ban -- обновление безопасности LTS

Дата сообщения:
26.07.2014
Затронутые пакеты:
fail2ban
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-7176, CVE-2013-7177.
Более подробная информация:
  • Использование привязанных failregex в фильтрах с целью избежать возможного отказа в обслуживании. Заплата вручную перенесена из текущей ветки 0.8 (как 0.8.13-29-g09b2016):
    • CVE-2013-7176: postfix.conf — привязка спереди, ожидает префикс "postfix/smtpd" в строке журнала
    • CVE-2013-7177: cyrus-imap.conf — привязка спереди, фильтр переработан таким образом, чтобы он имел один failregex
    • couriersmtp.conf — привязка на обеих сторонах
    • exim.conf — версии с привязкой спереди взяты из exim.conf и exim-spam.conf
    • lighttpd-fastcgi.conf — версии с привязкой спереди взяты из suhosin.conf (фильтр скопирован из версии для Wheezy)
  • Перехват неудачных попыток входа по безопасным протоколам (imaps/pop3s) для cyrus-imap. Регрессия появилась при усилении failregex в 0.8.11 (bd175f) Ошибка Debian #755173
  • cyrus-imap: перехват попыток пользователь не найден

В Debian 6 Squeeze эти проблемы были исправлены в пакете fail2ban версии 0.8.4-3+squeeze3