<div dir="ltr"><div>I know I'm blonde so might be silly question, but this libsystemd dependency,  does this mean dovecot need it mandatory even if we do not use a systemd infected OS ? Or is it only needed if we use one of those systemd infected OS's?</div><div><br></div><div>My question is because our linux does not use systemd</div><div>Thanks<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jun 21, 2021 at 9:19 PM Timo Sirainen <<a href="mailto:timo@sirainen.com">timo@sirainen.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><div>Hi,</div><div><br></div><div>Here's a new release with some security fixes and quite a lot of other changes as well.</div><div><br></div><a href="https://dovecot.org/releases/2.3/dovecot-2.3.15.tar.gz" target="_blank">https://dovecot.org/releases/2.3/dovecot-2.3.15.tar.gz</a><br><a href="https://dovecot.org/releases/2.3/dovecot-2.3.15.tar.gz.sig" target="_blank">https://dovecot.org/releases/2.3/dovecot-2.3.15.tar.gz.sig</a><br><br><div>Binary packages in <a href="https://repo.dovecot.org/" target="_blank">https://repo.dovecot.org/</a><br>Docker images in <a href="https://hub.docker.com/r/dovecot/dovecot" target="_blank">https://hub.docker.com/r/dovecot/dovecot</a></div><div><br></div><div><div> * CVE-2021-29157: Dovecot does not correctly escape kid and azp fields in</div><div>   JWT tokens. This may be used to supply attacker controlled keys to</div><div>   validate tokens, if attacker has local access.</div><div> * CVE-2021-33515: On-path attacker could have injected plaintext commands</div><div>   before STARTTLS negotiation that would be executed after STARTTLS</div><div>   finished with the client.</div><div> * Disconnection log messages are now more standardized across services.</div><div>   They also always now start with "Disconnected" prefix.</div><div> * Dovecot now depends on libsystemd for systemd integration.</div><div> * Removed support for Lua 5.2. Use version 5.1 or 5.3 instead.</div><div> * config: Some settings are now marked as "hidden". It's discouraged to</div><div>   change these settings. They will no longer be visible in doveconf</div><div>   output, except if they have been changed or if doveconf -s parameter</div><div>   is used. See <a href="https://doc.dovecot.org/settings/advanced/" target="_blank">https://doc.dovecot.org/settings/advanced/</a> for details.</div><div> * imap-compress: Compression level is now algorithm specific.</div><div>   See <a href="https://doc.dovecot.org/settings/plugin/compress-plugin/" target="_blank">https://doc.dovecot.org/settings/plugin/compress-plugin/</a></div><div> * indexer-worker: Convert "Indexed" info logs to an event named</div><div>   "indexer_worker_indexing_finished". See</div><div>   <a href="https://doc.dovecot.org/admin_manual/list_of_events/#indexer-worker-indexing-finished" target="_blank">https://doc.dovecot.org/admin_manual/list_of_events/#indexer-worker-indexing-finished</a></div><div> + Add TSLv1.3 support to min_protocols.</div><div> + Allow configuring ssl_cipher_suites. (for TLSv1.3+)</div><div> + acl: Add acl_ignore_namespace setting which allows to entirely ignore</div><div>   ACLs for the listed namespaces.</div><div> + imap: Support official RFC8970 preview/snippet syntax. Old methods of</div><div>   retrieving preview information via IMAP commands ("SNIPPET and PREVIEW</div><div>   with explicit algorithm selection") have been deprecated.</div><div> + imapc: Support INDEXPVT for imapc storage to enable private</div><div>   message flags for cluster wide shared mailboxes.</div><div> + lib-storage: Add new events: mail_opened, mail_expunge_requested,</div><div>   mail_expunged, mail_cache_lookup_finished. See</div><div>   <a href="https://doc.dovecot.org/admin_manual/list_of_events/#mail" target="_blank">https://doc.dovecot.org/admin_manual/list_of_events/#mail</a></div><div> + zlib, imap-compression, fs-compress: Support compression levels that</div><div>   the algorithm supports. Before, we would allow hardcoded value between</div><div>   1 to 9 and would default to 6. Now we allow using per-algorithm value</div><div>   range and default to whatever default the algorithm specifies.</div><div> - *-login: Commands pipelined together with and just after the authenticate</div><div>   command cause these commands to be executed twice. This applies to all</div><div>   protocols that involve user login, which currently comprises of imap,</div><div>   pop3, submisision and managesieve.</div><div> - *-login: Processes are supposed to disconnect the oldest non-logged in</div><div>   connection when process_limit was reached. This didn't actually happen</div><div>   with the default "high-security mode" (with service_count=1) where each</div><div>   connection is handled by a separate process.</div><div> - *-login: When login process reaches client/process limits, oldest</div><div>   client connections are disconnected. If one of these was still doing</div><div>   anvil lookup, this caused a crash. This could happen only if the login</div><div>   process limits were very low or if the server was overloaded.</div><div> - Fixed building with link time optimizations (-flto).</div><div> - auth: Userdb iteration with passwd driver does not always return all</div><div>   users with some nss drivers.</div><div> - dsync: Shared INBOX not synced when "mail_shared_explicit_inbox" was</div><div>   disabled. If a user has a shared mailbox which is another user's INBOX,</div><div>   dsync didn't include the mailbox in syncing unless explicit naming is</div><div>   enabled with "mail_shared_explicit_inbox" set to "yes".</div><div> - dsync: Shared namespaces were not synced with "-n" flag.</div><div> - dsync: Syncing shared INBOX failed if mail_attribute_dict was not set.</div><div>   If a user has a shared mailbox that is another user's INBOX, dsync</div><div>   failed to export the mailbox if mail attributes are disabled.</div><div> - fts-solr, fts-tika: Using both Solr FTS and Tika may have caused HTTP</div><div>   requests to assert-crash: Panic: file http-client-request.c: line 1232</div><div>   (http_client_request_send_more): assertion failed: (req->payload_input != NULL)</div><div> - fts-tika: 5xx errors returned by Tika server as indexing failures.</div><div>   However, Tika can return 5xx for some attachments every time.</div><div>   So the 5xx error should be retried once, but treated as success if it</div><div>   happens on the retry as well. v2.3 regression.</div><div> - fts-tika: v2.3.11 regression: Indexing messages with fts-tika may have</div><div>   resulted in Panic: file message-parser.c: line 802 (message_parser_deinit_from_parts):</div><div>   assertion failed: (ctx->nested_parts_count == 0 || i_stream_have_bytes_left(ctx->input))</div><div> - imap: SETMETADATA could not be used to unset metadata values.</div><div>   Instead NIL was handled as a "NIL" string. v2.3.14 regression.</div><div> - imap: IMAP BINARY FETCH crashes at least on empty base64 body:</div><div>   Panic: file index-mail-binary.c: line 358 (blocks_count_lines):</div><div>   assertion failed: (block_count == 0 || block_idx+1 == block_count)</div><div> - imap: If IMAP client using the NOTIFY command was disconnected while</div><div>   sending FETCH notifications to the client, imap could crash with</div><div>   Panic: Trying to close mailbox INBOX with open transactions.</div><div> - imap: Using IMAP COMPRESS extension can cause IMAP connection to hang</div><div>   when IMAP commands are >8 kB long.</div><div> - imapc: If remote server sent BYE but didn't immediately disconnect, it</div><div>   could cause infinite busy-loop.</div><div> - lib-index: Corrupted cache record size in dovecot.index.cache file</div><div>   could have caused a crash (segfault) when accessing it.</div><div> - lib-oauth2: JWT token time validation now works correctly with</div><div>   32-bit systems.</div><div> - lib-ssl-iostream: Checking hostnames against an SSL certificate was</div><div>   case-sensitive.</div><div> - lib-storage: Corrupted mime.parts in dovecot.index.cache may have</div><div>   resulted in Panic: file imap-bodystructure.c: line 206 (part_write_body):</div><div>   assertion failed: (text == ((part->flags & MESSAGE_PART_FLAG_TEXT) != 0))</div><div> - lib-storage: Index rebuilding (e.g. via doveadm force-resync) didn't</div><div>   preserve the "hdr-pop3-uidl" header. Because of this, the next pop3</div><div>   session could have accessed all of the emails' metadata to read their</div><div>   POP3 UIDL (opening dbox files).</div><div> - listescape: When using the listescape plugin and a shared namespace</div><div>   the plugin didn't work properly anymore resulting in errors like:</div><div>   "Invalid mailbox name: Name must not have '/' character."</div><div> - lmtp: Connection crashes if connection gets disconnected due to</div><div>   multiple bad commands and the last bad command is BDAT.</div><div> - lmtp: The Dovecot-specific LMTP parameter XRCPTFORWARD was blindly</div><div>   forwarded by LMTP proxy without checking that the backend has support.</div><div>   This caused a command parameter error from the backend if it was</div><div>   running an older Dovecot release. This could only occur in more complex</div><div>   setups where the message was proxied twice; when the proxy generated</div><div>   the XRCPTFORWARD parameter itself the problem did not occur, so this</div><div>   only happened when it was forwarded.</div><div> - lmtp: The LMTP proxy crashes with a panic when the remote server</div><div>   replies with an error while the mail is still being forwarded through</div><div>   a DATA/BDAT command.</div><div> - lmtp: Username may have been missing from lmtp log line prefixes when</div><div>   it was performing autoexpunging.</div><div> - master: Dovecot would incorrectly fail with haproxy 2.0.14 service</div><div>   checks.</div><div> - master: Systemd service: Dovecot announces readiness for accepting</div><div>   connections earlier than it should. The following environment variables</div><div>   are now imported automatically and can be omitted from</div><div>   import_environment setting: NOTIFY_SOCKET LISTEN_FDS LISTEN_PID.</div><div> - master: service { process_min_avail } was launching processes too</div><div>   slowly when master was forking a lot of processes.</div><div> - util: Make the health-check.sh example script POSIX shell compatible.</div></div><div><br></div></div></blockquote></div>