Säkerhetsbulletin från Debian
DSA-4510-1 dovecot -- säkerhetsuppdatering
- Rapporterat den:
- 2019-08-28
- Berörda paket:
- dovecot
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2019-11500.
- Ytterligare information:
-
Nick Roessler och Rafi Rubin upptäckte att tolkarna av IMAP- och ManageSieve-protokollen i e-postservern Dovecot inte validerar indata ordentligt (både före och efter inloggning). En fjärrangripare kan dra fördel av denna brist för att trigga heapminnesskrivning utanför avgränsningarna, vilket leder till informationsläckage eller möjligen exekvering av godtycklig kod.
För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 1:2.2.27-3+deb9u5.
För den stabila utgåvan (Buster) har detta problem rättats i version 1:2.3.4.1-5+deb10u1.
Vi rekommenderar att ni uppgraderar era dovecot-paket.
För detaljerad säkerhetsstatus om dovecot vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/dovecot