Рекомендация Debian по безопасности
DSA-4825-1 dovecot -- обновление безопасности
- Дата сообщения:
- 04.01.2021
- Затронутые пакеты:
- dovecot
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2020-24386, CVE-2020-25275.
- Более подробная информация:
-
В почтовом сервере Dovecot было обнаружено несколько уязвимостей.
- CVE-2020-24386
Если включен спящий режим для imap, злоумышленник (с корректными данными учётной записи для доступа к почтовому серверу) может использовать Dovecot для обнаружения структуры каталогов файловой системы и получать доступ к почтовым сообщениям других пользователей с помощью специально сформированных команд.
- CVE-2020-25275
Иннокентий Сенновский сообщил, что доставка почты и её грамматический разбор в Dovecot могут завершаться аварийно, если 10000-ая MIME-часть сообщения имеет формат message/rfc822 (или если её родительское сообщение имеет формат multipart/digest). Эта уязвимость появилась из-за более ранних изменений, добавленных для исправления CVE-2020-12100.
В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.3.4.1-5+deb10u5.
Рекомендуется обновить пакеты dovecot.
С подробным статусом поддержки безопасности dovecot можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dovecot
- CVE-2020-24386