Bulletin d'alerte Debian

DSA-4130-1 dovecot -- Mise à jour de sécurité

Date du rapport :
2 mars 2018
Paquets concernés :
dovecot
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 888432, Bogue 891819, Bogue 891820.
Dans le dictionnaire CVE du Mitre : CVE-2017-14461, CVE-2017-15130, CVE-2017-15132.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-14461

    Aleksandar Nikolic de Cisco Talos et flxflndy ont découvert que Dovecot n'analysait pas correctement les adresses de courrier électronique non valables, ce qui peut provoquer un plantage ou la divulgation de contenus de mémoire à un attaquant.

  • CVE-2017-15130

    Les recherches de configuration TLS SNI pourraient conduire à une utilisation de la mémoire excessive, faisant que la limite de la VSZ de imap-login/pop3-login soit atteinte et que le processus redémarre, avec pour conséquence un déni de service. Seules les configurations de Dovecot contenant les blocs de configuration local_name { } ou local { } sont affectées.

  • CVE-2017-15132

    Dovecot renferme un défaut de fuite de mémoire dans le processus de connexion lors d'une authentification SASL interrompue.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1:2.2.13-12~deb8u4.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:2.2.27-3+deb9u2.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dovecot