Debians sikkerhedsbulletin

DSA-4130-1 dovecot -- sikkerhedsopdatering

Rapporteret den:
2. mar 2018
Berørte pakker:
dovecot
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 888432, Fejl 891819, Fejl 891820.
I Mitres CVE-ordbog: CVE-2017-14461, CVE-2017-15130, CVE-2017-15132.
Yderligere oplysninger:

Flere sårbarheder er opdaget i mailserveren Dovecot. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2017-14461

    Aleksandar Nikolic fra Cisco Talos og flxflndy, opdagede at Dovecot ikke på korrekt vis fortolkede ugyldige mailadresser, hvilket kunne forårsage et nedbrud eller lækage af hukommelsesindhold til en angriber.

  • CVE-2017-15130

    Man opdagede at TLS SNI-opsætningsopslag kunne føre til for stort hukommelsesforbrug, forårsagende VSZ-begrænsningen i imap-login/pop3 blev opnået, og processen genstartet, medførende lammelsesangreb. Kun Dovecot-opsætninger indeholdende opsætningsblokken med local_name { } eller local { }, var påvirkede.

  • CVE-2017-15132

    Man opdagede at Dovecot indeholdt en hukommelseslækagefejl i loginprocessen ved afbrudt SASL-autentifikation.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 1:2.2.13-12~deb8u4.

I den stabile distribution (stretch), er disse problemer rettet i version 1:2.2.27-3+deb9u2.

Vi anbefaler at du opgraderer dine dovecot-pakker.

For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/dovecot