Рекомендация Debian по безопасности

DSA-4745-1 dovecot -- обновление безопасности

Дата сообщения:
12.08.2020
Затронутые пакеты:
dovecot
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-12100, CVE-2020-12673, CVE-2020-12674.
Более подробная информация:

В почтовом сервере Dovecot было обнаружено несколько уязвимостей.

  • CVE-2020-12100

    Получение письма с вложенными друг в друга MIME-частями приводит к исчерпанию ресурсов, так как Dovecot пытается выполнить их грамматическую разборку.

  • CVE-2020-12673

    Реализация NTLM в Dovecot неправильно выполняет проверку размера буфера сообщения, что приводит к аварийным остановкам при чтении за пределами выделенного буфера памяти.

  • CVE-2020-12674

    Реализация механизм RPA в Dovecot принимает сообщения нулевой длины, что позже приводит к аварийной остановке при обработке утверждения.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.3.4.1-5+deb10u3.

Рекомендуется обновить пакеты dovecot.

С подробным статусом поддержки безопасности dovecot можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dovecot