Avant cette mise à jour, la configuration par défaut de Dovecot utilisée par Debian faisait fonctionner les démons serveurs avec les droits du groupe mail. Cela signifie que les utilisateurs ayant un accès en écriture à leur répertoire de courriels sur le serveur (par exemple à travers une connexion SSH) pouvaient lire et aussi supprimer par l'intermédiaire d'un lien symbolique des boîtes à lettres détenues par d'autres utilisateurs pour lesquels ils n'avaient pas d'accès direct (CVE-2008-1199). De plus, un conflit d'interprétation interne dans la gestions des mots de passe a été corrigé de manière proactive, même s'il n'est peut-être pas exploitable (CVE-2008-1218).
Veuillez noter que cette mise à jour nécessite une action manuelle : le
paramètre de configuration mail_extra_groups = mail
a été remplacé par
mail_privileged_group = mail
. La mise à jour affichera un conflit dans
le fichier de configuration /etc/dovecot/dovecot.conf. Nous vous recommandons
de conserver le fichier actuellement installé et de modifier manuellement la
ligne affectée. Pour information, la configuration d'exemple (sans vos
modifications locales) est écrite dans /etc/dovecot/dovecot.conf.dpkg-new.
Si votre configuration actuelle utilise mail_extra_groups avec une
valeur différente de mail
, vous devez recourir à la directive de
configuration mail_access_groups.
Pour l'ancienne distribution stable (Sarge), aucune mise à jour n'est fournie. Nous vous invitons à faire la mise à jour vers la distribution stable.
Pour la distribution stable (Etch), ce problème a été corrigé dans la version 1.0.rc15-2etch4.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.0.13-1.
Nous vous recommandons de mettre à jour votre paquet dovecot.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.