Aviso de seguridad de Debian

DSA-4745-1 dovecot -- actualización de seguridad

Fecha del informe:
12 de ago de 2020
Paquetes afectados:
dovecot
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2020-12100, CVE-2020-12673, CVE-2020-12674.
Información adicional:

Se han descubierto varias vulnerabilidades en el servidor de correo electrónico Dovecot.

  • CVE-2020-12100

    La recepción de correo con partes MIME profundamente anidadas da lugar a agotamiento de recursos cuando Dovecot intenta analizarlo sintácticamente.

  • CVE-2020-12673

    La implementación de NTLM en Dovecot no comprueba correctamente el tamaño del área de memoria de los mensajes, lo que da lugar a caídas al leer más allá del área asignada.

  • CVE-2020-12674

    La implementación del mecanismo RPA en Dovecot acepta mensajes de longitud cero, lo que da lugar, más tarde, a caídas de aserción.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 1:2.3.4.1-5+deb10u3.

Le recomendamos que actualice los paquetes de dovecot.

Para información detallada sobre el estado de seguridad de dovecot, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/dovecot