Før denne opdatering var standardopsætningen af Dovecot i Debian, at køre serverdæmonen med rettigheder til gruppen mail. Dette betød at brugere med skriveadgang til deres mailmappe på serveren (for eksempel gennem en SSH-konto) kunne læse og gennem et symbolsk link også slette mailbokse, som var ejet af andre brugere, og til hvilke de ikke havde direkte adgang (CVE-2008-1199). Desuden var der en intern fortolkningskonflik i adgangskodehåndteringen, som proaktivet er blevet behandlet, selv om den ikke er kendt for at være udnytbar (CVE-2008-1218).
Bemærk at det kræver manuel indgriben at anvende denne opdatering:
Opsætningsindstillingen mail_extra_groups = mail
er blevet erstattet af
mail_privileged_group = mail
. Opdateringen vil vise en konflik i
opsætningsfilen i /etc/dovecot/dovecot.conf. Det anbefales at du beholder den
allerede installerede opsætningsfil og retter den påvirkede linje. Til
reference skrives der et eksempel på en opsætningsfil (uden ens egne lokale
ændringer) til /etc/dovecot/dovecot.conf.dpkg-new.
Hvis din nuværende opsætning anvender mail_extra_groups med en værdi, der er
forskellig fra mail
, kan det være nødvendigt at anvende opsætningsparameteret
mail_access_groups.
Til den gamle stabile distribution (sarge) har vi ikke lavet en opdatering. Vi anbefaler, at duovervejer at opgradere til den stabile distribution.
I den stabile distribution (etch), er disse problemer rettet i version 1.0.rc15-2etch4.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0.13-1.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.