Risque
- Déni de service à distance ;
- Atteinte à l'intégrité des données.
Systèmes affectés
- Dovecot versions 1.2.16 et antérieures ;
- Dovecot versions 2.0.12 et antérieures.
Résumé
Une vulnérabilité dans le serveur de messagerie Dovecot permet à un utilisateur distant malintentionné de provoquer un déni de service ou de porter atteinte à l'intégrité des données.
Description
Une vulnérabilité relative à la gestion des en-têtes de courriels est présente dans Dovecot. Elle permet à un utilisateur distant malintentionné de provoquer un arrêt inopiné du serveur ou de corrompre un fichier de boîte de courriels.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements apportés à la version 1.2.17 de Dovecot :
http://dovecot.org/pipermail/dovecot//2011-May/059086.html
- Liste des changements apportés à la version 2.0.13 de Dovecot :
http://dovecot.org/pipermail/dovecot//2011-May/059085.html
- Bulletin de sécurité Debian DSA 2252 du 02 juin 2011 :
http://www.debian.org/security/2011/dsa-2252
- Bulletins de sécurité Fedora FEDORA-2011-7258 et 7268 du 19 mai 2011 :
https://www.redhat.com/archives/fedora-packages-announce/2011-May/060815.html
https://www.redhat.com/archives/fedora-packages-announce/2011-May/060825.html
- Bulletin de sécurité Mandriva MDVSA-2011:101 du 26 mai 2011 :
http://www.mandriva.com/fr/support/security/advisories?name=MDVSA-2011:101
- Bulletin de sécurité RedHat RHSA-2011:1187-1 du 18 août 2011 :
http://rhn.redhat.com/errata/RHSA-2010-1187.html
- Bulletin de sécurité SUSE SUSE-SR:2011:010 du 13 mai 2011 :
http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00008.html
- Bulletin de sécurité Ubuntu USN-1143-1 du 01 juin 2011 :
http://www.ubuntu.com/usn/usn-1143-1
- Référence CVE CVE-2011-1929 :
https://www.cve.org/CVERecord?id=CVE-2011-1929