Debians sikkerhedsbulletin
DSA-4510-1 dovecot -- sikkerhedsopdatering
- Rapporteret den:
- 28. aug 2019
- Berørte pakker:
- dovecot
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-11500.
- Yderligere oplysninger:
-
Nick Roessler og Rafi Rubin opdagede at IMAP- og ManageSieve-protokolfortolkerne i mailserveren Dovecot, ikke på korrekt vis validerede inddata (både før og efter login). En fjernangriber kunne drage nytte af fejlen til at udløse heaphukommelsesskrivninger udenfor grænserne, førende til informationslækager eller potentielt udførelse af vilkårlig kode.
I den gamle stabile distribution (stretch), er dette problem rettet i version 1:2.2.27-3+deb9u5.
I den stabile distribution (buster), er dette problem rettet i version 1:2.3.4.1-5+deb10u1.
Vi anbefaler at du opgraderer dine dovecot-pakker.
For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/dovecot