LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1667-1 dovecot

Bulletin d'alerte Debian

DLA-1667-1 dovecot -- Mise à jour de sécurité pour LTS

Date du rapport :

7 février 2019

Paquets concernés :

dovecot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-3814.

Plus de précisions :

Une vulnérabilité existait dans le serveur IMAP/POP3 dovecot.

Un défaut dans le traitement du nom d’utilisateur TLS pourrait conduire un attaquant à se connecter comme n’importe qui dans le système si à la fois auth_ssl_{require_client,username_from}_cert étaient activés.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1:2.2.13-12~deb8u5 de dovecot.

Nous vous recommandons de mettre à jour vos paquets dovecot.