この更新以前は、Debian で設定している既定の Dovecot の設定は、サーバを mail グループ権限で走らせるというものでした。これにより、他の方法 (例 えば SSH ログインなどで) 自分のメールディレクトリに書き込み権限のある ユーザが、直接の書き込み権限の無い他のユーザのメールボックスの読み出し が可能になっていました (CVE-2008-1199)。 さらに、パスワード処理の内部の解釈矛盾により、パスワードチェックの迂回の可能性 があります。但し、この問題の攻撃手法は知られていません (CVE-2008-1218)。
この更新では、人手修正が必要となることに注意ください。
mail_extra_groups = mail
という設定は、mail_privileged_group = mail
に置
き換えられています。また、この更新では、/etc/dovecot/dovecot.conf 設定フ
ァイル中の矛盾を表示するようにしています。このため、現在インストールされ
ている設定ファイルを保存しておき、変更を受ける行だけを修正することを勧め
ます、参考のため、設定ファイルのサンプル (ローカルの変更を含まないもの)
が、/etc/dovecot/dovecot.conf.dpkg-new に格納されています。
現在の設定が、mail
以外の mail_extra_groups を使うようにしている場合、
mail_extra_groups 設定ディレクティブを元に戻す必要があります。
旧安定版での更新は提供されません。安定版へのアップグレードを検討ください。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.0.rc15-2etch4 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 1.0.13-1 で修正されています。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。