Debians sikkerhedsbulletin
DSA-4590-1 cyrus-imapd -- sikkerhedsopdatering
- Rapporteret den:
- 19. dec 2019
- Berørte pakker:
- cyrus-imapd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-19783.
- Yderligere oplysninger:
-
Man opdagede at lmtpd-komponenten i Cyrus' IMAP-server oprettede mailboxes med administratorrettigheder, hvis
fileinto
blev anvendt, hvilket omgik ACL-kontroller.I den gamle stabile distribution (stretch), er dette problem rettet i version 2.5.10-3+deb9u2.
I den stabile distribution (buster), er dette problem rettet i version 3.0.8-6+deb10u3.
Vi anbefaler at du opgraderer dine cyrus-imapd-pakker.
For detaljeret sikkerhedsstatus vedrørende cyrus-imapd, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/cyrus-imapd