데비안 보안 권고

DSA-4385-1 dovecot -- 보안 업데이트

보고일:
2019년 02월 05일
영향 받는 패키지:
dovecot
위험성:
보안 데이터베이스 참조:
Mitre의 CVE 사전: CVE-2019-3814.
추가 정보:

halfdog discovered an authentication bypass vulnerability in the Dovecot email server. Under some configurations Dovecot mistakenly trusts the username provided via authentication instead of failing. If there is no additional password verification, this allows the attacker to login as anyone else in the system. Only installations using:

  • auth_ssl_require_client_cert = yes
  • auth_ssl_username_from_cert = yes

are affected by this flaw.

안정 배포(stretch)에서, 이 문제를 버전 1:2.2.27-3+deb9u3에서 고쳤습니다.

dovecot 패키지를 업그레이드 하는 게 좋습니다.

dovecot의 자세한 보안 상태는 보안 추적 페이지 참조: https://security-tracker.debian.org/tracker/dovecot