Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4825-1 dovecot

Bulletin d'alerte Debian

DSA-4825-1 dovecot -- Mise à jour de sécurité

Date du rapport :

4 janvier 2021

Paquets concernés :

dovecot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-24386, CVE-2020-25275.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur de courrier électronique Dovecot.

• CVE-2020-24386

  Quand l'hibernation d'IMAP est active, un attaquant (avec une identité valable pour accéder au serveur de courriel) peut faire en sorte que Dovecot découvre la structure des répertoires du système de fichiers et accède aux messages d'autres utilisateurs au moyen de commandes contrefaites pour l'occasion.

• CVE-2020-25275

  Innokentii Sennovskiy a signalé que la distribution et l'analyse de courriel dans Dovecot peut planter quand la 10 000e partie MIME est de type message/rfc822 (ou si le parent était au format multipart/digest). Ce défaut a été introduit par des modifications antérieures pour traiter le CVE-2020-12100.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1:2.3.4.1-5+deb10u5.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dovecot.