Aviso de seguridad de Debian

DSA-4385-1 dovecot -- actualización de seguridad

Fecha del informe:
5 de feb de 2019
Paquetes afectados:
dovecot
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2019-3814.
Información adicional:

halfdog descubrió una vulnerabilidad de elusión de autenticación en el servidor de correo electrónico Dovecot. Con algunas configuraciones, Dovecot acepta erróneamente el nombre de usuario proporcionado vía autenticación en lugar de rechazarlo. Si no hay verificación de contraseña adicional, esto permite que el atacante se identifique como cualquier otro usuario del sistema. Solo están afectadas por este defecto las instalaciones que utilizan:

  • auth_ssl_require_client_cert = yes
  • auth_ssl_username_from_cert = yes

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 1:2.2.27-3+deb9u3.

Le recomendamos que actualice los paquetes de dovecot.

Para información detallada sobre el estado de seguridad de dovecot, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/dovecot