Bulletin d'alerte Debian

DSA-1516-1 dovecot -- Augmentation des privilèges

Date du rapport :
14 mars 2008
Paquets concernés :
dovecot
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 469457.
Dans le dictionnaire CVE du Mitre : CVE-2008-1199, CVE-2008-1218.
Plus de précisions :

Avant cette mise à jour, la configuration par défaut de Dovecot utilisée par Debian faisait fonctionner les démons serveurs avec les droits du groupe mail. Cela signifie que les utilisateurs ayant un accès en écriture à leur répertoire de courriels sur le serveur (par exemple à travers une connexion SSH) pouvaient lire et aussi supprimer par l'intermédiaire d'un lien symbolique des boîtes à lettres détenues par d'autres utilisateurs pour lesquels ils n'avaient pas d'accès direct (CVE-2008-1199). De plus, un conflit d'interprétation interne dans la gestions des mots de passe a été corrigé de manière proactive, même s'il n'est peut-être pas exploitable (CVE-2008-1218).

Veuillez noter que cette mise à jour nécessite une action manuelle : le paramètre de configuration mail_extra_groups = mail a été remplacé par mail_privileged_group = mail. La mise à jour affichera un conflit dans le fichier de configuration /etc/dovecot/dovecot.conf. Nous vous recommandons de conserver le fichier actuellement installé et de modifier manuellement la ligne affectée. Pour information, la configuration d'exemple (sans vos modifications locales) est écrite dans /etc/dovecot/dovecot.conf.dpkg-new.

Si votre configuration actuelle utilise mail_extra_groups avec une valeur différente de mail, vous devez recourir à la directive de configuration mail_access_groups.

Pour l'ancienne distribution stable (Sarge), aucune mise à jour n'est fournie. Nous vous invitons à faire la mise à jour vers la distribution stable.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.0.rc15-2etch4.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.0.13-1.

Nous vous recommandons de mettre à jour votre paquet dovecot.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.dsc
http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15.orig.tar.gz
http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_alpha.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_alpha.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_amd64.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_amd64.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_arm.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_arm.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_hppa.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_hppa.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_i386.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_i386.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_ia64.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_ia64.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mips.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mips.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mipsel.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mipsel.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_powerpc.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_powerpc.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_s390.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_s390.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_sparc.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_sparc.deb
http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.