Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4418-1 dovecot

Bulletin d'alerte Debian

DSA-4418-1 dovecot -- Mise à jour de sécurité

Date du rapport :

28 mars 2019

Paquets concernés :

dovecot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-7524.

Plus de précisions :

Une vulnérabilité a été découverte dans le serveur de courrier électronique Dovecot. Lors de la lecture d'en-têtes FTS ou POP3-UIDL à partir de l'index de Dovecot, il n'y a pas de vérification de limites de la taille du tampon d'entrée. Un attaquant avec la capacité de modifier les index de Dovecot peut tirer avantage de ce défaut pour une augmentation de droits ou l'exécution de code arbitraire avec les droits de l'utilisateur dovecot. Seules les installations utilisant les greffons de migration de FTS ou pop3 sont affectées.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1:2.2.27-3+deb9u4.

Nous vous recommandons de mettre à jour vos paquets dovecot.

Pour disposer d'un état détaillé sur la sécurité de dovecot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dovecot.