ALT-PU-2021-2500-1
Closed vulnerabilities
BDU:2021-03234
Уязвимость почтового сервера Dovecot, связанная с ошибками экранирования полей kid и azp в токенах JWT, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-03235
Уязвимость почтового сервера Dovecot, связанная с ошибками управления ресурсами, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2021-03236
Уязвимость почтового сервера Dovecot, связанная с неверной нейтрализация особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю раскрыть учетные данные пользователей
Modified: 2024-11-21
CVE-2020-28200
The Sieve engine in Dovecot before 2.3.15 allows Uncontrolled Resource Consumption, as demonstrated by a situation with a complex regular expression for the regex extension.
Modified: 2024-11-21
CVE-2021-29157
Dovecot before 2.3.15 allows ../ Path Traversal. An attacker with access to the local filesystem can trick OAuth2 authentication into using an HS256 validation key from an attacker-controlled location. This occurs during use of local JWT validation with the posix fs driver.
Modified: 2024-11-21
CVE-2021-33515
The submission service in Dovecot before 2.3.15 allows STARTTLS command injection in lib-smtp. Sensitive information can be redirected to an attacker-controlled address.
- https://dovecot.org/security
- https://dovecot.org/security
- [debian-lts-announce] 20220927 [SECURITY] [DLA 3122-1] dovecot security update
- [debian-lts-announce] 20220927 [SECURITY] [DLA 3122-1] dovecot security update
- FEDORA-2021-208340a217
- FEDORA-2021-208340a217
- FEDORA-2021-891c1ab1ac
- FEDORA-2021-891c1ab1ac
- GLSA-202107-41
- GLSA-202107-41
- https://www.openwall.com/lists/oss-security/2021/06/28/2
- https://www.openwall.com/lists/oss-security/2021/06/28/2