Рекомендация Debian по безопасности

DSA-4825-1 dovecot -- обновление безопасности

Дата сообщения:
04.01.2021
Затронутые пакеты:
dovecot
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-24386, CVE-2020-25275.
Более подробная информация:

В почтовом сервере Dovecot было обнаружено несколько уязвимостей.

  • CVE-2020-24386

    Если включен спящий режим для imap, злоумышленник (с корректными данными учётной записи для доступа к почтовому серверу) может использовать Dovecot для обнаружения структуры каталогов файловой системы и получать доступ к почтовым сообщениям других пользователей с помощью специально сформированных команд.

  • CVE-2020-25275

    Иннокентий Сенновский сообщил, что доставка почты и её грамматический разбор в Dovecot могут завершаться аварийно, если 10000-ая MIME-часть сообщения имеет формат message/rfc822 (или если её родительское сообщение имеет формат multipart/digest). Эта уязвимость появилась из-за более ранних изменений, добавленных для исправления CVE-2020-12100.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.3.4.1-5+deb10u5.

Рекомендуется обновить пакеты dovecot.

С подробным статусом поддержки безопасности dovecot можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dovecot