dovecot-1.0.7-7.1AXS3

エラータID: AXSA:2009-18:01

リリース日: 
2009/02/16 Monday - 09:00
題名: 
dovecot-1.0.7-7.1AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- dovecot の ACL プラグインには、negative アクセス権を positive アクセス権のように扱ってしまうため、アクセス制限を回避される脆弱性が存在します。(CVE-2008-4577)

- dovecot には、dovecot.conf が world-readable 権限を使用している場合に ssl_key_password パラメータ値を取得される脆弱性が存在します。(CVE-2008-4870)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2008-4577
The ACL plugin in Dovecot before 1.1.4 treats negative access rights as if they are positive access rights, which allows attackers to bypass intended access restrictions.
CVE-2008-4870
dovecot 1.0.7 in Red Hat Enterprise Linux (RHEL) 5, and possibly Fedora, uses world-readable permissions for dovecot.conf, which allows local users to obtain the ssl_key_password parameter value.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. dovecot-1.0.7-7.1AXS3.src.rpm
    MD5: 1115b2e539bb684dd075f76a0a715a60
    SHA-256: 9eaf402deb06b0176e735a11557a6a14b738501ff381ebb5f453747bcd16c0c3
    Size: 1.75 MB

Asianux Server 3 for x86
  1. dovecot-1.0.7-7.1AXS3.i386.rpm
    MD5: cad41f9146267419d401a6b943527a2a
    SHA-256: 7e9d4fa4f2a160db4d448b2142fc47a34954fbd216248a95c9e113c6bbab9c91
    Size: 1.66 MB

Asianux Server 3 for x86_64
  1. dovecot-1.0.7-7.1AXS3.x86_64.rpm
    MD5: c796843592c78d7eeb29daf145d7c9bc
    SHA-256: ec20b0476a525837b3c8798d0c56522d550814eb20212d4e7d3440895ba91c89
    Size: 1.67 MB