CVE-2022-24732

Versões do Maddy anteriores à 0.5.4

O problema diz respeito ao Maddy Mail Server, um servidor de e-mail de código aberto compatível com SMTP. Ele não implementa a verificação de validade de senha ou de conta ao autenticar usando PAM. Isso afeta configurações que utilizam auth.pam em versões anteriores à 0.5.4. Recomenda-se que os usuários atualizem para resolver o problema. Para aqueles que não puderem atualizar, recomenda-se a remoção manual de contas expiradas por meio dos mecanismos de filtragem existentes.

Para versões anteriores à 0.5.4, atualize para a versão 0.5.4 ou posterior para resolver o problema.

Como solução temporária, considere substituir o auth.pam pelo auth.shadow se for utilizada a autenticação /etc/shadow.

Como alternativa, coloque as contas expiradas na lista negra por meio de mecanismos de filtragem existentes, como o uso do auth map para invalidar contas no storage.imapsql.