Debian 安全報告

DSA-4825-1 dovecot -- 安全更新

報告日期:
2021/01/04
受影響的軟件:
dovecot
可被襲擊:
參考的安全性資料庫:
在 Mitre's CVE 的目錄中: CVE-2020-24386, CVE-2020-25275.
更詳盡的資訊:

在Dovecot電子郵件伺服器中發現了多個漏洞。

  • CVE-2020-24386

    當imap休眠處啟動時,攻擊者(具有訪問郵件伺服器的有效憑據)可以使 Dovecot發現文件系統目錄結構,並透過精心構建的命令訪問其他用户的電子郵件。

  • CVE-2020-25275

    Innokentii Sennovskiy 報告當第10000個MIME部分是 message/rfc822(或者父級是 multipart/digest)時, Dovecot中的郵件傳遞和解析可能會崩潰。 此缺陷是由早期更改 CVE-2020-12100引入的。

在穩定版(buster)中,此問題已被修復於版本 1:2.3.4.1-5+deb10u5。

我們建議您升級您的 dovecot 套件。

查看關於 dovecot 的詳細信息,請訪問其安全追蹤頁面 https://security-tracker.debian.org/tracker/dovecot