Dovecot 2.4.2: защищённый сервер IMAP с экспериментальной поддержкой IMAP4rev2

Команда Dovecot объявила о выпуске Dovecot 2.4.2 — нового стабильного обновления для одного из наиболее широко используемых серверов IMAP и POP3 с открытым исходным кодом.

Была устранена серьёзная проблема, связанная с CVE-2025-30189, которая затрагивала несколько бэкендов аутентификации, включая passdb oauth2, passwd и bsdauth. При включённом кэшировании аутентификации пользователи могли кэшироваться под одним и тем же ключом — потенциально серьёзная уязвимость для многопользовательских сред.

Кроме того, в версии 2.4.2 обновлены зависимости сборки и внутренняя конфигурация Dovecot:

• Новая зависимость libpcre2: заменяет устаревшую обработку регулярных выражений, повышая совместимость и производительность.
• Зависимость от libicu удалена: теперь Dovecot включает в себя собственную облегчённую библиотеку Unicode, что упрощает сборку и снижает количество внешних зависимостей.
• Улучшения OAuth2: улучшенная обработка токенов JWT и продление срока действия с помощью новой настройки oauth2_token_expire_grace .
• Экспериментальная поддержка IMAP4rev2: частичная реализация для раннего тестирования протокола IMAP следующего поколения.
• Конвейерная обработка LMTP: клиент LMTP теперь поддерживает конвейерную обработку команд, что повышает эффективность доставки почты.
• Улучшена обработка SSL и прокси: если удалённые серверы предоставляют недействительные сертификаты, Dovecot теперь не выполняет повторное подключение без необходимости.
• Парсер конфигураций на основе Python 3: повышает удобство сопровождения и обеспечивает перспективное управление конфигурациями.

Помимо Dovecot, Pigeonhole 2.4.2 — компонент фильтрации Sieve — получил несколько важных обновлений:

• Добавлена поддержка регулярных выражений с поддержкой Unicode и списков расширений.
• Использует новый бэкенд регулярных выражений на основе libpcre2.
• Устранены некоторые проблемы с конфигурацией и сборкой, связанные с LDAP.
• Улучшает обработку скриптов и повышает надёжность инструмента.

Готовые двоичные файлы доступны по адресу repo.dovecot.org, а официальные образы Docker опубликованы на Docker Hub: https://hub.docker.com/r/dovecot/dovecot. Пользователям, обновляющим систему, настоятельно рекомендуется ознакомиться с официальным руководством по миграции с версии 2.3 на версию 2.4: https://doc.dovecot.org/2.4.2/installation/upgrade/2.3-to-2.4.html из-за новой зависимости от libpcre2 и изменений во внутренней библиотеке.

Подробнее обо всех изменениях см. в объявлении о выпуске: https://dovecot.org/mailman3/archives/list/dovecot-news@dovecot.org/thread/XTMMPVQ3QKQMYDZ3CZZCXPNHN7OXKS3L/ или в журнале изменений GitHub проекта.

Редактор: AndreyEx