Bulletin d'alerte Debian

DLA-1333-1 dovecot -- Mise à jour de sécurité pour LTS

Date du rapport :
31 mars 2018
Paquets concernés :
dovecot
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-14461, CVE-2017-15130, CVE-2017-15132.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-14461

    Aleksandar Nikolic de Cisco Talos et flxflndy ont découvert que Dovecot n'analysait pas correctement les adresses de courrier électronique non valables, ce qui peut provoquer un plantage ou la divulgation de contenus de mémoire à un attaquant.

  • CVE-2017-15130

    Les recherches de configuration TLS SNI pourraient conduire à une utilisation de la mémoire excessive, faisant que la limite de la VSZ de imap-login/pop3-login soit atteinte et que le processus redémarre, avec pour conséquence un déni de service. Seules les configurations de Dovecot contenant les blocs de configuration local_name { } ou local { } sont affectées.

  • CVE-2017-15132

    Dovecot renferme un défaut de fuite de mémoire dans le processus de connexion lors d'une authentification SASL interrompue.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:2.1.7-7+deb7u2.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.