Долгосрочная поддержка Debian / Информация о безопасности LTS / 2020 / Информация о безопасности -- DLA-2268-1 mutt

Рекомендация Debian по безопасности

DLA-2268-1 mutt -- обновление безопасности LTS

Дата сообщения:

30.06.2020

Затронутые пакеты:

mutt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 962897.
В каталоге Mitre CVE: CVE-2020-14093, CVE-2020-14954.

Более подробная информация:

В mutt, консольном клиенте электронной почты, были обнаружены две уязвимости.

• CVE-2020-14093

  Mutt позволяет выполнять атаку по принципу человек-в-середине на IMAP-команды fcc/postpone через PREAUTH-ответ.

• CVE-2020-14954

  Mutt содержит проблему буферизации STARTTLS, которая касается IMAP, SMTP и POP3. Когда сервер отправляет ответ begin TLS, клиент считывает дополнительные данные (например, от злоумышленника в середине) и выполняет их в TLS-контексте, что также известно как введение ответа.

В Debian 8 Jessie эти проблемы были исправлены в версии 1.5.23-3+deb8u2.

Рекомендуется обновить пакеты mutt.

Дополнительную информацию о рекомендациях по безопасности Debian LTS, о том, как применять эти обновления к вашей системе, а также ответы на часто задаваемые вопросы можно найти по адресу: https://wiki.debian.org/LTS