Bug 13288

Summary: [CVE 21] opensmtpd 6.8.0p2 CVEs found
Product: [ROSA-based products] ROSA Fresh Reporter: Yury <y.tumanov>
Component: System (kernel, glibc, systemd, bash, PAM...)Assignee: ilfat <i.gaptrakhmanov>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: a.proklov, i.gaptrakhmanov, m.novosyolov, pastordidi, s.matveev, v.potapov, y.tumanov
Version: AllFlags: v.potapov: qa_verified+
y.tumanov: secteam_verified+
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
URL: CVE-2023-29323,
Whiteboard:
Platform: 2021.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Yury 2023-05-03 18:01:23 MSK 
Please patch CVEs for package opensmtpd version 6.8.0p2
  
INFO (CVEs are): opensmtpd 6.8.0p2
 cves found
CVE-2023-29323
Desc: ascii_load_sockaddr in smtpd in OpenBSD before 7.1 errata 024 and 7.2 before errata 020, and OpenSMTPD Portable before 7.0.0-portable commit f748277, can abort upon a connection from a local, scoped IPv6 address.
Link: https://nvd.nist.gov/vuln/detail/CVE-2023-29323
Severity: HIGH
Comment 1 Mikhail Novosyolov 2023-05-15 15:12:26 MSK 
Можно просто обновить его
Comment 2 Mikhail Novosyolov 2023-05-22 23:51:05 MSK 
http://wiki.rosalab.ru/ru/index.php/OpenSMTPD
Comment 3 ilfat 2023-05-26 11:06:27 MSK 
********** QA ADVISORY **********

На данный момент нет исправляющего патча для CVE-2023-29323
Comment 4 Mikhail Novosyolov 2023-05-26 12:59:49 MSK 
Патч есть. Но нет релиза с ним. Я, может, попробую из гита собрать.
Comment 5 ilfat 2023-06-05 19:29:26 MSK 
********** QA ADVISORY **********

CVE-2023-29323 закрыт обновлением проекта до версии 7.3.0p0-rc2

Проверил работу сервера на localhost пользуясь инструкцией из статьи на wiki:
http://wiki.rosalab.ru/ru/index.php/OpenSMTPD

https://abf.io/build_lists/4480573 i686 - тесты не прошли, не определяется версия в репозитории:
BUILDER: repository version of this package is : 
BUILDER: repository package version is: 
BUILDER: running rpmdev-vercmp 0:7.3.0p0~rc2-1 
BUILDER: package is older, the same version as in repository or other issue

https://abf.io/build_lists/4480574 x86_64
https://abf.io/build_lists/4480576 aarch64

https://abf.io/build_lists/4480577
https://abf.io/build_lists/4480579
Comment 6 Mikhail Novosyolov 2023-06-06 01:56:55 MSK 
(In reply to ilfat from comment #5)

> Проверил работу сервера на localhost пользуясь инструкцией из статьи на wiki:
> http://wiki.rosalab.ru/ru/index.php/OpenSMTPD
> 
Видел, ты поправил описку в статье, спасибо.
Comment 7 Dmitry Postnikov 2023-06-06 09:31:32 MSK 
Чего с i686-й версией будем делать? ФИксить будете?
Comment 8 ilfat 2023-06-06 10:18:15 MSK 
(In reply to Dmitry Postnikov from comment #7)
> Чего с i686-й версией будем делать? ФИксить будете?

Непрохождение тестов с самим пакетом как я понимаю не связано.
rpmdev-vercmp не может сравнить собранную версию с пустотой, так как
в определении версии из репозитория пусто.

На всякий случай проверил на 32 битном LXQt - пакет устанавливается,
служба запускается, письма отправляются.
Comment 9 Dmitry Postnikov 2023-06-06 14:41:00 MSK 
(In reply to ilfat from comment #5)
> ********** QA ADVISORY **********
> 
> CVE-2023-29323 закрыт обновлением проекта до версии 7.3.0p0-rc2
> 
> https://abf.io/build_lists/4480573 i686 - тесты не прошли, не определяется
> 
> https://abf.io/build_lists/4480574 x86_64
> https://abf.io/build_lists/4480576 aarch64
> 
> https://abf.io/build_lists/4480577
> https://abf.io/build_lists/4480579


***************************
The update sent to testings
Comment 10 Vladimir Potapov 2023-06-13 11:50:11 MSK 
opensmtpd-7.3.0p0~rc2-1
https://abf.io/build_lists/4480574 x86_64
https://abf.io/build_lists/4480576 aarch64

https://abf.io/build_lists/4480577
https://abf.io/build_lists/4480579
************************* Advisory *********************
CVE-2023-29323 закрыт обновлением проекта до версии 7.3.0p0-rc2
********************************************************
QA Verified
Comment 11 Yury 2023-07-05 11:05:17 MSK 
Secteam Approved