<!doctype html>
<html>
 <head> 
  <meta charset="UTF-8"> 
 </head>
 <body>
  <div>
   Hi,
  </div>
  <div>
   <br>
  </div>
  <div>
   as per our EOL statement 2.2.36 receives security and critical updates. That said, we decided to flush few annoying bugs with .1 release.
  </div>
  <div>
   <br>
  </div>
  <div>
   You do not need to build releases for 2.2.
  </div>
  <div>
   <br>
  </div>
  <div>
   Aki
  </div>
  <blockquote type="cite">
   <div>
    On 05 February 2019 at 17:36 Eric Broch <
    <a href="mailto:ebroch@whitehorsetc.com">ebroch@whitehorsetc.com</a>> wrote:
   </div>
   <div>
    <br>
   </div>
   <div>
    <br>
   </div>
   <div>
    Aki,
   </div>
   <div>
    <br>
   </div>
   <div>
    What's the difference between 2.2.x and 2.3.x version of Dovecot? And
   </div>
   <div>
    why do you maintain both?
   </div>
   <div>
    <br>
   </div>
   <div>
    I stopped building RPM's of the 2.2.x version and now only build 2.3.x.
   </div>
   <div>
    Should I be maintaining both?
   </div>
   <div>
    <br>
   </div>
   <div>
    Eric
   </div>
   <div>
    <br>
   </div>
   <div>
    On 2/5/2019 6:01 AM, Aki Tuomi wrote:
   </div>
   <blockquote type="cite">
    <div>
     <a href="https://dovecot.org/releases/2.2/dovecot-2.2.36.1.tar.gz" rel="noopener" target="_blank">https://dovecot.org/releases/2.2/dovecot-2.2.36.1.tar.gz</a>
    </div>
    <div>
     <a href="https://dovecot.org/releases/2.2/dovecot-2.2.36.1.tar.gz.sig" rel="noopener" target="_blank">https://dovecot.org/releases/2.2/dovecot-2.2.36.1.tar.gz.sig</a>
    </div>
   </blockquote>
   <blockquote type="cite">
    <div>
         * CVE-2019-3814: If imap/pop3/managesieve/submission client has
    </div>
    <div>
           trusted certificate with missing username field
    </div>
    <div>
           (ssl_cert_username_field), under some configurations Dovecot
    </div>
    <div>
           mistakenly trusts the username provided via authentication instead
    </div>
    <div>
           of failing.
    </div>
    <div>
         * ssl_cert_username_field setting was ignored with external SMTP AUTH,
    </div>
    <div>
           because none of the MTAs (Postfix, Exim) currently send the
    </div>
    <div>
           cert_username field. This may have allowed users with trusted
    </div>
    <div>
           certificate to specify any username in the authentication. This bug
    </div>
    <div>
           didn't affect Dovecot's Submission service.
    </div>
   </blockquote>
   <blockquote type="cite">
    <div>
         - pop3_no_flag_updates=no: Don't expunge RETRed messages without QUIT
    </div>
    <div>
         - director: Kicking a user assert-crashes if login process is very slow
    </div>
    <div>
         - lda/lmtp: Fix assert-crash with some Sieve scripts when
    </div>
    <div>
           mail_attachment_detection_options=add-flags-on-save
    </div>
    <div>
         - fs-compress: Using maybe-gz assert-crashed when reading 0 sized file
    </div>
    <div>
         - Snippet generation crashed with invalid Content-Type:multipart
    </div>
   </blockquote>
   <div>
    >
   </div>
   <blockquote type="cite">
    <div>
     ---
    </div>
   </blockquote>
   <blockquote type="cite">
    <div>
     Aki Tuomi
    </div>
    <div>
     Open-Xchange Oy
    </div>
   </blockquote>
   <div>
    >
   </div>
   <div>
    --
   </div>
   <div>
    Eric Broch
   </div>
   <div>
    White Horse Technical Consulting (WHTC)
   </div>
  </blockquote>
  <div>
   <br>
  </div>
  <div class="io-ox-signature">
   ---
   <br>Aki Tuomi
  </div> 
 </body>
</html>