Bulletin d'alerte Debian

DLA-2328-1 dovecot -- Mise à jour de sécurité pour LTS

Date du rapport :
15 août 2020
Paquets concernés :
dovecot
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 968302.
Dans le dictionnaire CVE du Mitre : CVE-2020-12100, CVE-2020-12673, CVE-2020-12674.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de courriels Dovecot.

  • CVE-2020-12100

    La réception d’un courriel avec des parties MIME imbriquées profondément conduisait à un épuisement des ressources lorsque Dovecot essayait de l’analyser.

  • CVE-2020-12673

    L’implémentation NTLM de Dovecot ne vérifiait pas correctement la taille de tampon de message. Cela conduisait à un plantage lors de la lecture de l’allocation antérieure.

  • CVE-2020-12674

    L’implémentation du mécanisme RPA de Dovecot acceptait les messages de longueur nulle. Cela conduisait à un plantage d’assertion.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:2.2.27-3+deb9u6.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dovecot

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.