Рекомендация Debian по безопасности
DLA-2268-2 mutt -- обновление безопасности LTS
- Дата сообщения:
- 30.06.2020
- Затронутые пакеты:
- mutt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2020-14093, CVE-2020-14954.
- Более подробная информация:
-
В mutt, консольном клиенте электронной почты, были обнаружены две уязвимости.
- CVE-2020-14093
Mutt позволяет выполнять атаку по принципу человек-в-середине на IMAP-команды fcc/postpone через PREAUTH-ответ.
- CVE-2020-14954
Mutt содержит проблему буферизации STARTTLS, которая касается IMAP, SMTP и POP3. Когда сервер отправляет ответ
begin TLS
, клиент считывает дополнительные данные (например, от злоумышленника в середине) и выполняет их в TLS-контексте, что также известно каквведение ответа
.
В Debian jessie из пакета с исходным кодом mutt собираются два пакета, mutt и mutt-patched.
В предыдущей версии пакета (1.5.23-3+deb8u2, DLA-2268-1) содержались исправления для проблем, указанных выше, но они были применены только для сборки пакета mutt-patched, но не для сборки (классического) пакета mutt.
В Debian 8
Jessie
эти проблемы были исправлены в версии 1.5.23-3+deb8u3.Рекомендуется обновить пакеты mutt.
Дополнительную информацию о рекомендациях по безопасности Debian LTS, о том, как применять эти обновления к вашей системе, а также ответы на часто задаваемые вопросы можно найти по адресу: https://wiki.debian.org/LTS
- CVE-2020-14093