Информация по безопасности / 2021 / Информация о безопасности -- DSA-4825-1 dovecot

Рекомендация Debian по безопасности

DSA-4825-1 dovecot -- обновление безопасности

Дата сообщения:

04.01.2021

Затронутые пакеты:

dovecot

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2020-24386, CVE-2020-25275.

Более подробная информация:

В почтовом сервере Dovecot было обнаружено несколько уязвимостей.

• CVE-2020-24386

  Если включен спящий режим для imap, злоумышленник (с корректными данными учётной записи для доступа к почтовому серверу) может использовать Dovecot для обнаружения структуры каталогов файловой системы и получать доступ к почтовым сообщениям других пользователей с помощью специально сформированных команд.

• CVE-2020-25275

  Иннокентий Сенновский сообщил, что доставка почты и её грамматический разбор в Dovecot могут завершаться аварийно, если 10000-ая MIME-часть сообщения имеет формат message/rfc822 (или если её родительское сообщение имеет формат multipart/digest). Эта уязвимость появилась из-за более ранних изменений, добавленных для исправления CVE-2020-12100.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1:2.3.4.1-5+deb10u5.

Рекомендуется обновить пакеты dovecot.

С подробным статусом поддержки безопасности dovecot можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dovecot