Alert GCSA-22024 - Aggiornamento di sicurezza Cyrus SASL
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-22024
data: 25 febbraio 2022
titolo: Aggiornamento di sicurezza per Cyrus SASL
******************************************************************
:: Descrizione del problema
Il team Cyrus ha rilasciato una nuova versione della libreria
Cyrus-SASL, con la quale risolve due vulnerabilita'
lib/common.c
CVE-2019-19906 Fix off by one error
plugins/sql.c
CVE-2022-24407 Escape password for SQL insert/update commands
CVSS (Max): 8.8 - 9.1
Questa seconda vulnerabilita' e' relativa ad un difetto nel
plugin SQL fornito con Cyrus SASL.
Non viene eseguito correttamente l'escape dell'input SQL
(insufficiente sanificazione della password), cio' consente ad un
aggressore remoto non autenticato di eseguire comandi SQL arbitrari
(SQL Injection).
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Cyrus SASL versioni dalla 2.1.17 alla 2.1.27
:: Impatto
Acquisizione di privilegi piu' elevati (EoP)
Denial of Service (DoS)
Accesso a dati riservati (ID)
:: Soluzioni
Aggiornare il software all'ultima versione
Cyrus SASL 2.1.28
https://github.com/cyrusimap/cyrus-sasl/releases/download/cyrus-sasl-2.1.28/cyrus-sasl-2.1.28.tar.gz
https://github.com/cyrusimap/cyrus-sasl/releases/download/cyrus-sasl-2.1.28/cyrus-sasl-2.1.28.tar.gz.sig
:: Riferimenti
Cyrus SASL - Release notes
https://www.cyrusimap.org/sasl/sasl/release-notes/2.1/index.html#new-in-2-1-28
https://github.com/cyrusimap/cyrus-sasl/blob/fdcd13ceaef8de684dc69008011fa865c5b4a3ac/docsrc/sasl/release-notes/2.1/index.rst
Red Hat - Security Advisory
https://access.redhat.com/security/cve/CVE-2022-24407
https://access.redhat.com/errata/RHSA-2022:0658
https://access.redhat.com/errata/RHSA-2022:0666
https://access.redhat.com/errata/RHSA-2022:0668
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-5301-1
https://ubuntu.com/security/notices/USN-5301-2
SUSE
https://www.suse.com/support/update/announcement/2022/suse-su-202214894-1
Oracle cyrus-sasl security update
https://linux.oracle.com/errata/ELSA-2022-0666.html
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24407
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19906
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYhi0FgAKCRDBnEyTZRJg
QpGNAJ9cGAwbofguVdiBIiKfo0SSfcirQQCgnWT1ioTVaqo8PavWd8YCdc+C9Xk=
=OzTx
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-22024
data: 25 febbraio 2022
titolo: Aggiornamento di sicurezza per Cyrus SASL
******************************************************************
:: Descrizione del problema
Il team Cyrus ha rilasciato una nuova versione della libreria
Cyrus-SASL, con la quale risolve due vulnerabilita'
lib/common.c
CVE-2019-19906 Fix off by one error
plugins/sql.c
CVE-2022-24407 Escape password for SQL insert/update commands
CVSS (Max): 8.8 - 9.1
Questa seconda vulnerabilita' e' relativa ad un difetto nel
plugin SQL fornito con Cyrus SASL.
Non viene eseguito correttamente l'escape dell'input SQL
(insufficiente sanificazione della password), cio' consente ad un
aggressore remoto non autenticato di eseguire comandi SQL arbitrari
(SQL Injection).
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Cyrus SASL versioni dalla 2.1.17 alla 2.1.27
:: Impatto
Acquisizione di privilegi piu' elevati (EoP)
Denial of Service (DoS)
Accesso a dati riservati (ID)
:: Soluzioni
Aggiornare il software all'ultima versione
Cyrus SASL 2.1.28
https://github.com/cyrusimap/cyrus-sasl/releases/download/cyrus-sasl-2.1.28/cyrus-sasl-2.1.28.tar.gz
https://github.com/cyrusimap/cyrus-sasl/releases/download/cyrus-sasl-2.1.28/cyrus-sasl-2.1.28.tar.gz.sig
:: Riferimenti
Cyrus SASL - Release notes
https://www.cyrusimap.org/sasl/sasl/release-notes/2.1/index.html#new-in-2-1-28
https://github.com/cyrusimap/cyrus-sasl/blob/fdcd13ceaef8de684dc69008011fa865c5b4a3ac/docsrc/sasl/release-notes/2.1/index.rst
Red Hat - Security Advisory
https://access.redhat.com/security/cve/CVE-2022-24407
https://access.redhat.com/errata/RHSA-2022:0658
https://access.redhat.com/errata/RHSA-2022:0666
https://access.redhat.com/errata/RHSA-2022:0668
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-5301-1
https://ubuntu.com/security/notices/USN-5301-2
SUSE
https://www.suse.com/support/update/announcement/2022/suse-su-202214894-1
Oracle cyrus-sasl security update
https://linux.oracle.com/errata/ELSA-2022-0666.html
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24407
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19906
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYhi0FgAKCRDBnEyTZRJg
QpGNAJ9cGAwbofguVdiBIiKfo0SSfcirQQCgnWT1ioTVaqo8PavWd8YCdc+C9Xk=
=OzTx
-----END PGP SIGNATURE-----