Рекомендация Debian по безопасности

DSA-4385-1 dovecot -- обновление безопасности

Дата сообщения:
05.02.2019
Затронутые пакеты:
dovecot
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-3814.
Более подробная информация:

halfdog обнаружил возможность обхода аутентификации в почтовом сервере Dovecot. При некоторых настройках Dovecot ошибочно доверяет имени пользователя, передаваемому через механизм аутентификации, вместо вывода ошибки. Если дополнительная проверка по паролю отсутствует, то это позволяет злоумышленнику входить в систему от лица любого пользователя. Данной уязвимости подвержены только установки, использующие следующие настройки:

  • auth_ssl_require_client_cert = yes
  • auth_ssl_username_from_cert = yes

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1:2.2.27-3+deb9u3.

Рекомендуется обновить пакеты dovecot.

С подробным статусом поддержки безопасности dovecot можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dovecot