Säkerhetsbulletin från Debian

DSA-4385-1 dovecot -- säkerhetsuppdatering

Rapporterat den:
2019-02-05
Berörda paket:
dovecot
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-3814.
Ytterligare information:

halfdog upptäckte en sårbarhet för förbigång av autentisering i e-postservern Dovecot. Under vissa konfigurationer litar Dovecot felaktigt på användarnamn som tillhandahålls via autentisering istället för att misslyckas. Om det inte finns ytterligare lösenordsverifiering tillåter detta angriparen att logga in som vem som helst på systemet. Endast installationer som använder:

  • auth_ssl_require_client_cert = yes
  • auth_ssl_username_from_cert = yes

påverkas av denna brist.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1:2.2.27-3+deb9u3.

Vi rekommenderar att ni uppgraderar era dovecot-paket.

För detaljerad säkerhetsstatus om dovecot vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/dovecot