Säkerhetsbulletin från Debian

DSA-3828-1 dovecot -- säkerhetsuppdatering

Rapporterat den:
2017-04-10
Berörda paket:
dovecot
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 860049.
I Mitres CVE-förteckning: CVE-2017-2669.
Ytterligare information:

Man har upptäckt att e-postservern Dovecot är sårbar för ett överbelastningsangrepp. När dict-lösenordsdatabasen och -användardatabasen används för användarautentisering skickas användarnamnet som skickas genom IMAP/POP3-klienten genom var_expand() för att utföra %variabel-expansion. Sändning av speciellt skapade %variabel-fält kan resultera i överdriven minnesanvändning som får processen att krascha (och starta om).

För den stabila utgåvan (Jessie) har detta problem rättats i version 1:2.2.13-12~deb8u2.

Vi rekommenderar att ni uppgraderar era dovecot-paket.