Debians sikkerhedsbulletin
DSA-4745-1 dovecot -- sikkerhedsopdatering
- Rapporteret den:
- 12. aug 2020
- Berørte pakker:
- dovecot
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2020-12100, CVE-2020-12673, CVE-2020-12674.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i mailserveren Dovecot.
- CVE-2020-12100
Modtagelse af mail med dybt indlejrede MIME-dele, førte til ressourceudmattelse, da Dovecot forsøgte at fortolke det.
- CVE-2020-12673
Dovecots NTLM-implementering kontrollede ikke på korrekt vis meddelelsesbufferstørrelsen, hvilket førte til et nedbrud ved læsning forbi allokeringen.
- CVE-2020-12674
Dovecots implementering af RPA-mekanismen tillod meddelelser med en længde på nul, hvilket senere førte til assert-nedbrud.
I den stabile distribution (buster), er disse problemer rettet i version 1:2.3.4.1-5+deb10u3.
Vi anbefaler at du opgraderer dine dovecot-pakker.
For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/dovecot
- CVE-2020-12100