dovecot-1.0.7-2.1AXS3
エラータID: AXSA:2008-76:01
リリース日:
2008/08/14 Thursday - 20:51
題名:
dovecot-1.0.7-2.1AXS3
影響のあるチャネル:
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Asianux Server 3 for ppc
Asianux Server 3 for ia64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
Dovecot の index/mbox/mbox-storage.c には、zlib プラグインを使用した場合、任意のgzip で圧縮されたメールボックスを読み取られる脆弱性が存在します。(CVE-2007-2231)
Dovecot の ACL プラグイン には、COPY または APPEND コマンドにより、INSERT 権限を持つユーザにフラグを保存される脆弱性が存在します。(CVE-2007-4211)
Dovecot には、%変数を使用する設定である場合に、LDAP+auth キャッシュの維持に問題があるため、認証されたユーザが同じパスワードを持つ別のユーザとしてログイン可能な脆弱性が存在します。 (CVE-2007-6598)
Dovecot には、mail_extra_groups にて Dovecot に /var/mail への dotlocks 作成を許可している場合に、シンボリックリンク攻撃を受ける脆弱性が存在します。 (CVE-2008-1199)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください
CVE:
CVE-2007-2231
Directory traversal vulnerability in index/mbox/mbox-storage.c in Dovecot before 1.0.rc29, when using the zlib plugin, allows remote attackers to read arbitrary gzipped (.gz) mailboxes (mbox files) via a .. (dot dot) sequence in the mailbox name.
Directory traversal vulnerability in index/mbox/mbox-storage.c in Dovecot before 1.0.rc29, when using the zlib plugin, allows remote attackers to read arbitrary gzipped (.gz) mailboxes (mbox files) via a .. (dot dot) sequence in the mailbox name.
CVE-2007-4211
The ACL plugin in Dovecot before 1.0.3 allows remote authenticated users with the insert right to save certain flags via a (1) COPY or (2) APPEND command.
The ACL plugin in Dovecot before 1.0.3 allows remote authenticated users with the insert right to save certain flags via a (1) COPY or (2) APPEND command.
CVE-2007-6598
Dovecot before 1.0.10, with certain configuration options including use of %variables, does not properly maintain the LDAP+auth cache, which might allow remote authenticated users to login as a different user who has the same password.
Dovecot before 1.0.10, with certain configuration options including use of %variables, does not properly maintain the LDAP+auth cache, which might allow remote authenticated users to login as a different user who has the same password.
CVE-2008-1199
Dovecot before 1.0.11, when configured to use mail_extra_groups to allow Dovecot to create dotlocks in /var/mail, might allow local users to read sensitive mail files for other users, or modify files or directories that are writable by group, via a symlink attack.
Dovecot before 1.0.11, when configured to use mail_extra_groups to allow Dovecot to create dotlocks in /var/mail, might allow local users to read sensitive mail files for other users, or modify files or directories that are writable by group, via a symlink attack.
追加情報:
N/A
ダウンロード:
Asianux Server 3 for x86
- dovecot-1.0.7-2.1AXS3.i386.rpm
MD5: 7fe059afbeb2148281de70a016e17b40
SHA-256: 403170727667c9f42408ee83c64d15dd68bfdf4e62bf46b2266a9d6867a95c81
Size: 1.66 MB
Asianux Server 3 for x86_64
- dovecot-1.0.7-2.1AXS3.x86_64.rpm
MD5: c1a6ed4834b63f996acb0fe2e862e783
SHA-256: f8940b2826f71669619e137765ab46a3220e6b35ba7fd4b776d6298f31ac1542
Size: 1.67 MB