Aviso de seguridad de Debian

DSA-4130-1 dovecot -- actualización de seguridad

Fecha del informe:
2 de mar de 2018
Paquetes afectados:
dovecot
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 888432, error 891819, error 891820.
En el diccionario CVE de Mitre: CVE-2017-14461, CVE-2017-15130, CVE-2017-15132.
Información adicional:

Se han descubierto varias vulnerabilidades en el servidor de correo electrónico Dovecot. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

  • CVE-2017-14461

    Aleksandar Nikolic, de Cisco Talos, y flxflndy descubrieron que Dovecot no hace un análisis sintáctico correcto de las direcciones de correo inválidas, lo que puede provocar una caída o la revelación a un atacante de contenidos de la memoria.

  • CVE-2017-15130

    Se descubrió que las búsquedas de configuración de TLS SNI pueden dar lugar a un uso excesivo de memoria, provocando que se alcance el límite imap-login/pop3-login VSZ y que se reinicie el proceso, lo que tiene como resultado una denegación de servicio. Solo están afectadas las configuraciones de Dovecot que contienen bloques de configuración local_name { } o local { }.

  • CVE-2017-15132

    Se descubrió que Dovecot contiene un defecto de fuga de información de memoria en el proceso de establecimiento de sesión («login») cuando se aborta una autenticación SASL.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 1:2.2.13-12~deb8u4.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1:2.2.27-3+deb9u2.

Le recomendamos que actualice los paquetes de Dovecot.

Para información detallada sobre el estado de seguridad de Dovecot consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/dovecot