Команда Dovecot выпустила версию Dovecot 2.4.3 — стабильное обновление для этого широко используемого сервера IMAP и POP3 с открытым исходным кодом. В этом выпуске значительно улучшена поддержка UTF-8 при хранении почты, что обеспечивает более качественную обработку многоязычного почтового контента и полную совместимость с Unicode.
В то же время обновление продолжает развитие экспериментальных функций серии 2.4, включая опциональную поддержку почты в формате UTF-8 и IMAP4rev2, которые требуют явного включения при сборке и настройке.
С точки зрения безопасности, этот выпуск устраняет несколько серьезных уязвимостей, включая риски SQL- и LDAP-инъекций, возникающие из-за неправильно настроенных ограничений на имена пользователей при аутентификации, а также проблему отказа в обслуживании, вызванную неверным входом аутентификации с кодировкой base64.
Дополнительные исправления устраняют чрезмерное использование ЦП и памяти из-за специально сформированных параметров MIME и входных данных IMAP, а также слабые места в аутентификации OTP и проверке учетных данных.
Dovecot 2.4.3 вводит несколько функциональных улучшений, включая новый сокет Unix по умолчанию для аутентификации на основе токенов, расширенные возможности IMAP, такие как APPENDLIMIT и STATUS (DELETED) для IMAP4rev2, а также улучшенную поддержку IMAP-клиентов для расширений поиска MIMEPART, SORT и ESORT.
Кроме того, компоненты LMTP и прокси-сервера submission теперь поддерживают расширенные параметры XCLIENT, а обработка SQL улучшена за счет параметризованных запросов.
Этот выпуск также включает несколько изменений в конфигурации и поведении. Настройка по умолчанию для дополнительных групп сервисов заменена на группы доступа к почте, а 0 больше не принимается в качестве неограниченных значений в нескольких параметрах. Также скорректировано поведение удаления при завершении работы и настройки по умолчанию для таймаута во внутренних сервисах.
Наконец, обновление содержит обширные исправления ошибок, включая решения проблем сборки на BSD, Solaris и MacOS, сбоев и утечек при аутентификации, проблем обработки состояния IMAP, а также ошибок разбора и проверки границ в основных библиотеках. Дополнительные исправления касаются обработки TLS в LDAP, сбоев, связанных с сжатием, и крайних случаев при обработке HTTP и JSON.
Для получения более подробной информации читайте пост о выпуске или ознакомьтесь с журналом изменений проекта на github.
Dovecot 2.4.3 доступен в виде готовых пакетов из репозитория проекта и в виде официальных образов Docker.