Före denna uppdatering körde standardkonfigurationen av Dovecot som användes i Debian serverprocesserna med privilegier för gruppen mail. Detta innebär att användare som har skrivbehörighet till sin e-postkatalog på servern (till exempel genom en SSH-inloggning) kunde läsa och även ta bort, genom att angripa symboliska länkar, brevlådor som ägdes av andra användare som de inte har direkt skrivåtkomst till (CVE-2008-1199). Dessutom har en intern tolkningskonflikt i hanteringen av lösenord rättats i förebyggande syfte, även om det inte är känt om det går att utnyttja (CVE-2008-1218).
Observera att du måste utföra en del arbete manuellt när du installerar den
här uppdateringen: Konfigurationsinställningen mail_extra_groups =
mail
har ersatts med mail_privileged_group = mail
.
Uppdateringen kommer att visa en konfigurationsfilskonflikt i
/etc/dovecot/dovecot.conf.
Vi rekommenderar att du behåller den nu installerade konfigurationsfilen och
ändrar den påverkade raden.
Som referens kommer exempelkonfigurationen (utan dina inställningar) att ha
skrivits till /etc/dovecot/dovecot.conf.dpkg-new.
Om din nuvarande konfiguration innehåller mail_extra_groups
med ett annat värde än mail
kan du behöva använda
konfigurationsdirektivet mail_access_groups.
Inga uppdateringar tillhandahålls för den gamla stabila utgåvan (Sarge). Vi rekommenderar att du överväger att uppgradera till den stabila utgåvan.
För den stabila utgåvan (Etch) har dessa problem rättats i version 1.0.rc15-2etch4.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.13-1.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.