Säkerhetsbulletin från Debian

DSA-4130-1 dovecot -- säkerhetsuppdatering

Rapporterat den:
2018-03-02
Berörda paket:
dovecot
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 888432, Fel 891819, Fel 891820.
I Mitres CVE-förteckning: CVE-2017-14461, CVE-2017-15130, CVE-2017-15132.
Ytterligare information:

Flera sårbarheter har upptäckts i e-postservern Dovecot. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-14461

    Aleksandar Nikolic från Cisco Talos och flxflndy upptäckte att Dovecot inte tolkar ogiltiga e-postadresser ordentligt, vilket kan orsaka en krasch eller läcka minnesinnehåll till en angripare.

  • CVE-2017-15130

    Man har upptäckt att TLS SNI konfigurationskontroller kan leda till överdriven minnesanvändning, vilket orsaka imap-login/pop3-login VSZ-begränsningen att nås samt omstart av processen, vilket resulterar i överbelastning. Endast Dovecot-konfigurationer som innehåller konfigurationsblocken local_name { } eller local { } påverkas.

  • CVE-2017-15132

    Man har upptäckt att Dovecot innehåller ett minnesläckage i loginprocessen vid avbruten SASL-autentisering.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1:2.2.13-12~deb8u4.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:2.2.27-3+deb9u2.

Vi rekommenderar att ni uppgraderar era dovecot-paket.

För detaljerad säkerhetsstatus om dovecot vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/dovecot