Рекомендация Debian по безопасности
DSA-3828-1 dovecot -- обновление безопасности
- Дата сообщения:
- 10.04.2017
- Затронутые пакеты:
- dovecot
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 860049.
В каталоге Mitre CVE: CVE-2017-2669. - Более подробная информация:
-
Было обнаружено, что Dovecot, сервер электронной почты, уязвим к отказу в обслуживании. Если для аутентификации пользователей используются
dict
passdb и userdb, то имя пользователя, отправляемое клиентом IMAP/POP3, отправляется через var_expand() для выполнения раскрытия %variable. Отправка специально сформированных полей %variable может приводить к чрезмерному потреблению памяти, что приводит к аварийной остановке процесса (и перезапуску).В стабильном выпуске (jessie) эта проблема была исправлена в версии 1:2.2.13-12~deb8u2.
Рекомендуется обновить пакеты dovecot.