Debian 安全报告

DSA-4825-1 dovecot -- 安全更新

报告日期:
2021/01/04
受影响的软件:
dovecot
可被袭击:
参考的安全性数据库:
在 Mitre's CVE 的目录中: CVE-2020-24386, CVE-2020-25275.
更详尽的信息:

在Dovecot电子邮件服务器中发现了多个漏洞。

  • CVE-2020-24386

    当imap休眠处启动时,攻击者(具有访问邮件服务器的有效凭据)可以使 Dovecot发现文件系统目录结构,并通过精心构建的命令访问其他用户的电子邮件。

  • CVE-2020-25275

    Innokentii Sennovskiy 报告当第10000个MIME部分是 message/rfc822(或者父级是 multipart/digest)时, Dovecot中的邮件传递和解析可能会崩溃。 此缺陷是由早期更改 CVE-2020-12100引入的。

在稳定版(buster)中,此问题已被修复于版本 1:2.3.4.1-5+deb10u5。

我们建议您升级您的 dovecot 软件包。

查看关于 dovecot 的详细信息,请访问其安全追踪页面 https://security-tracker.debian.org/tracker/dovecot