Säkerhetsbulletin från Debian

DSA-4590-1 cyrus-imapd -- säkerhetsuppdatering

Rapporterat den:
2019-12-19
Berörda paket:
cyrus-imapd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-19783.
Ytterligare information:

Man har upptäckt att lmtpd-komponenten i Cyrus IMAP-server skapade postlådor med administratör-rättigheter om fileinto användes, vilket förbigår ACL-kontroller.

För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 2.5.10-3+deb9u2.

För den stabila utgåvan (Buster) har detta problem rättats i version 3.0.8-6+deb10u3.

Vi rekommenderar att ni uppgraderar era cyrus-imapd-paket.

För detaljerad säkerhetsstatus om cyrus-imapd vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/cyrus-imapd