Dovecot 2.4.2: защищённый сервер IMAP с экспериментальной поддержкой IMAP4rev2
Команда Dovecot объявила о выпуске Dovecot 2.4.2 — нового стабильного обновления для одного из наиболее широко используемых серверов IMAP и POP3 с открытым исходным кодом.
Была устранена серьёзная проблема, связанная с CVE-2025-30189, которая затрагивала несколько бэкендов аутентификации, включая passdb oauth2, passwd и bsdauth. При включённом кэшировании аутентификации пользователи могли кэшироваться под одним и тем же ключом — потенциально серьёзная уязвимость для многопользовательских сред.
Кроме того, в версии 2.4.2 обновлены зависимости сборки и внутренняя конфигурация Dovecot:
- Новая зависимость libpcre2: заменяет устаревшую обработку регулярных выражений, повышая совместимость и производительность.
- Зависимость от libicu удалена: теперь Dovecot включает в себя собственную облегчённую библиотеку Unicode, что упрощает сборку и снижает количество внешних зависимостей.
- Улучшения OAuth2: улучшенная обработка токенов JWT и продление срока действия с помощью новой настройки
oauth2_token_expire_grace. - Экспериментальная поддержка IMAP4rev2: частичная реализация для раннего тестирования протокола IMAP следующего поколения.
- Конвейерная обработка LMTP: клиент LMTP теперь поддерживает конвейерную обработку команд, что повышает эффективность доставки почты.
- Улучшена обработка SSL и прокси: если удалённые серверы предоставляют недействительные сертификаты, Dovecot теперь не выполняет повторное подключение без необходимости.
- Парсер конфигураций на основе Python 3: повышает удобство сопровождения и обеспечивает перспективное управление конфигурациями.
Помимо Dovecot, Pigeonhole 2.4.2 — компонент фильтрации Sieve — получил несколько важных обновлений:
- Добавлена поддержка регулярных выражений с поддержкой Unicode и списков расширений.
- Использует новый бэкенд регулярных выражений на основе libpcre2.
- Устранены некоторые проблемы с конфигурацией и сборкой, связанные с LDAP.
- Улучшает обработку скриптов и повышает надёжность инструмента.
Готовые двоичные файлы доступны по адресу repo.dovecot.org, а официальные образы Docker опубликованы на Docker Hub: https://hub.docker.com/r/dovecot/dovecot. Пользователям, обновляющим систему, настоятельно рекомендуется ознакомиться с официальным руководством по миграции с версии 2.3 на версию 2.4: https://doc.dovecot.org/2.4.2/installation/upgrade/2.3-to-2.4.html из-за новой зависимости от libpcre2 и изменений во внутренней библиотеке.
Подробнее обо всех изменениях см. в объявлении о выпуске: https://dovecot.org/mailman3/archives/list/dovecot-news@dovecot.org/thread/XTMMPVQ3QKQMYDZ3CZZCXPNHN7OXKS3L/ или в журнале изменений GitHub проекта.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
