Debians sikkerhedsbulletin
DSA-4418-1 dovecot -- sikkerhedsopdatering
- Rapporteret den:
- 28. mar 2019
- Berørte pakker:
- dovecot
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-7524.
- Yderligere oplysninger:
-
En sårbarhed blev opdaget i mailserveren Dovecot. Ved læsning af FTS- eller POP3-UIDL-headere fra Dovecots indeks, blev der ikke udført grænsekontrol på inputbufferens størrelse. En angriber med mulighed for at ændre Dovecots indeks, kunne udnytte fejlen til rettighedsforøgelse eller udførelse af vilkårlig kode med rettighederne hørende til dovecotbrugeren. Kun installationer, der anvender FTS- eller pop3-migreringsplugins, er påvirkede.
I den stabile distribution (stretch), er dette problem rettet i version 1:2.2.27-3+deb9u4.
Vi anbefaler at du opgraderer dine dovecot-pakker.
For detaljeret sikkerhedsstatus vedrørende dovecot, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/dovecot