Vor dieser Aktualisierung liefen in der Debian-Standardkonfiguration von Dovecot die Server-Daemonen mit Rechten den Gruppe mail. Das bedeutet, dass Benutzer mit Schreibzugriff auf ihr E-Mail-Verzeichnis auf dem Server (zum Beispiel durch eine SSH-Anmeldung) mittels symbolischer Links Mailboxes anderer Personen lesen und auch löschen können, auf welche sie keinen direkten Zugriff haben. (CVE-2008-1199). Zusätzlich wurde ein interner Interpretationskonflikt im Umgang mit Passwörtern vorsorglich korrigiert, obwohl er nicht als ausnutzbar bekannt ist (CVE-2008-1218).
Es ist zu beachten, dass die Anwendung dieser Aktualisierung ein manuelles
Eingreifen erfordert: Der Konfigurationseintrag mail_extra_groups = mail
wurde durch mail_privileged_group = mail
ersetzt. Die Aktualisierung
wird einen Konflikt in der Konfigurationsdatei /etc/dovecot/dovecot.conf
anzeigen. Es wird empfohlen, die aktuell installierte Konfigurationsdatei zu
behalten und die betreffende Zeile zu ändern. Zur Referenz wird die
Beispielkonfiguration (ohne Ihre lokalen Änderungen) in
/etc/dovecot/dovecot.conf.dpkg-new geschrieben.
Falls Ihre aktuelle Konfiguration mail_extra_groups mit einem
anderen Wert als mail
verwendet, müssen Sie eventuell auf die
Anweisung mail_access_groups zurückgreifen.
Für die alte Stable-Distribution (Sarge) werden keine Aktualisierungen angeboten. Wir empfehlen, dass Sie auf die stabile Distribution aktualisieren.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.0.rc15-2etch4 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.0.13-1 behoben.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.