Debians sikkerhedsbulletin

DSA-4385-1 dovecot -- sikkerhedsopdatering

Rapporteret den:
5. feb 2019
Berørte pakker:
dovecot
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-3814.
Yderligere oplysninger:

halfdog opdagede en sårbarhed i forbindelse med omgåelse af autentifikation i mailserveren Dovecot. Med nogle opsætninger, havde Dovecot fejlagtigt tillid til det brugernavn, som leveres autentifikationen, i stedet for at fejle. Hvis der ikke er en yderligere adgangskodekontrol, var det muligt for en angriber at logge på systemet som enhver anden bruger. Kun installationer der anvender:

  • auth_ssl_require_client_cert = yes
  • auth_ssl_username_from_cert = yes

er påvirkede af fejlen.

I den stabile distribution (stretch), er dette problem rettet i version 1:2.2.27-3+deb9u3.

Vi anbefaler at du opgraderer dine dovecot-pakker.

For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/dovecot