Debians sikkerhedsbulletin

DSA-3828-1 dovecot -- sikkerhedsopdatering

Rapporteret den:
10. apr 2017
Berørte pakker:
dovecot
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 860049.
I Mitres CVE-ordbog: CVE-2017-2669.
Yderligere oplysninger:

Man opdagede at mailserveren Dovecot var sårbar over for et lammelsesangreb (denial of service). Når dict'en passdb og userdb anvendes til brugerautentifikation, blev brugernavnet fra IMAP-/POP3-klienten sendt gennem var_expand() for at udføre %variable-udvidelse. Afsendelse af særligt fremstillede %variable-felter, kunne medføre alt for stort hukommelsesforbrug, medførende at processen gik ned (og genstartede).

I den stabile distribution (jessie), er dette problem rettet i version 1:2.2.13-12~deb8u2.

Vi anbefaler at du opgraderer dine dovecot-pakker.