Debians sikkerhedsbulletin
DSA-4825-1 dovecot -- sikkerhedsopdatering
- Rapporteret den:
- 4. jan 2021
- Berørte pakker:
- dovecot
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2020-24386, CVE-2020-25275.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i mailserveren Dovecot.
- CVE-2020-24386
Når imap-davle er aktiv, kunne en angriber (med gyldige loginoplysninger til at tilgå mailserveren) få Dovecot til at opdage filsystemets mappestrukturer og tilgå andre brugeres mail gennem særligt fremstillede kommandoer.
- CVE-2020-25275
Innokentii Sennovskiy rapporterede at mailaflevering og -fortolkning i Dovecot kunne gå ned, når den 10000. MIME-del var en message/rfc822 (eller hvis ophavet var multipart/digest). Fejlen blev indført af tidligere ændringer, som løste CVE-2020-12100.
I den stabile distribution (buster), er disse problemer rettet i version 1:2.3.4.1-5+deb10u5.
Vi anbefaler at du opgraderer dine dovecot-pakker.
For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/dovecot
- CVE-2020-24386