Informations de sécurité / 2008 / Informations sur la sécurité -- DSA-1516-1 dovecot

Bulletin d'alerte Debian

DSA-1516-1 dovecot -- Augmentation des privilèges

Date du rapport :

14 mars 2008

Paquets concernés :

dovecot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 469457.
Dans le dictionnaire CVE du Mitre : CVE-2008-1199, CVE-2008-1218.

Plus de précisions :

Avant cette mise à jour, la configuration par défaut de Dovecot utilisée par Debian faisait fonctionner les démons serveurs avec les droits du groupe mail. Cela signifie que les utilisateurs ayant un accès en écriture à leur répertoire de courriels sur le serveur (par exemple à travers une connexion SSH) pouvaient lire et aussi supprimer par l'intermédiaire d'un lien symbolique des boîtes à lettres détenues par d'autres utilisateurs pour lesquels ils n'avaient pas d'accès direct (CVE-2008-1199). De plus, un conflit d'interprétation interne dans la gestions des mots de passe a été corrigé de manière proactive, même s'il n'est peut-être pas exploitable (CVE-2008-1218).

Veuillez noter que cette mise à jour nécessite une action manuelle : le paramètre de configuration mail_extra_groups = mail a été remplacé par mail_privileged_group = mail. La mise à jour affichera un conflit dans le fichier de configuration /etc/dovecot/dovecot.conf. Nous vous recommandons de conserver le fichier actuellement installé et de modifier manuellement la ligne affectée. Pour information, la configuration d'exemple (sans vos modifications locales) est écrite dans /etc/dovecot/dovecot.conf.dpkg-new.

Si votre configuration actuelle utilise mail_extra_groups avec une valeur différente de mail, vous devez recourir à la directive de configuration mail_access_groups.

Pour l'ancienne distribution stable (Sarge), aucune mise à jour n'est fournie. Nous vous invitons à faire la mise à jour vers la distribution stable.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.0.rc15-2etch4.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.0.13-1.

Nous vous recommandons de mettre à jour votre paquet dovecot.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :

http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.dsc

http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15.orig.tar.gz

http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.diff.gz

Alpha:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_alpha.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_alpha.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_amd64.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_amd64.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_arm.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_arm.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_hppa.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_hppa.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_i386.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_i386.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_ia64.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_ia64.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mips.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mips.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mipsel.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mipsel.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_powerpc.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_powerpc.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_s390.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_s390.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_sparc.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_sparc.deb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.