Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4745-1 dovecot

Bulletin d'alerte Debian

DSA-4745-1 dovecot -- Mise à jour de sécurité

Date du rapport :

12 août 2020

Paquets concernés :

dovecot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-12100, CVE-2020-12673, CVE-2020-12674.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot.

• CVE-2020-12100

  La réception d'un courrier électronique avec des parties MIME profondément imbriquées mène à un épuisement de ressource lorsque Dovecot tente de l'analyser.

• CVE-2020-12673

  L'implémentation de NTLM de Dovecot ne vérifie pas correctement la taille du tampon de message, ce qui mène à une plantage lors de la lecture d'une allocation antérieure.

• CVE-2020-12674

  L'implémentation du mécanisme RPA de Dovecot accepte des messages de longueur nulle, ce qui mène à un plantage d'insertion plus tard.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1:2.3.4.1-5+deb10u3.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dovecot.