Aviso de seguridad de Debian
DSA-4825-1 dovecot -- actualización de seguridad
- Fecha del informe:
- 4 de ene de 2021
- Paquetes afectados:
- dovecot
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2020-24386, CVE-2020-25275.
- Información adicional:
-
Se han descubierto varias vulnerabilidades en el servidor de correo electrónico Dovecot.
- CVE-2020-24386
Con la hibernación imap activa, un atacante con credenciales válidas para acceder al servidor de correo puede hacer que Dovecot le descubra estructuras de directorios en el sistema de archivos y acceder a los correos electrónicos de otros usuarios por medio de órdenes preparadas de una manera determinada.
- CVE-2020-25275
Innokentii Sennovskiy informó de que la entrega de correo y el análisis sintáctico en Dovecot pueden provocar una caída cuando la diezmilésima parte MIME es message/rfc822 (o su madre era multipart/digest). Este defecto se introdujo con los cambios hechos anteriormente para abordar CVE-2020-12100.
Para la distribución «estable» (buster), estos problemas se han corregido en la versión 1:2.3.4.1-5+deb10u5.
Le recomendamos que actualice los paquetes de dovecot.
Para información detallada sobre el estado de seguridad de dovecot, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/dovecot
- CVE-2020-24386