[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:50236] [Translate] [SECURITY] [DSA 1516-1] New dovecot packages fix privilege escalation

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:50236] [Translate] [SECURITY] [DSA 1516-1] New dovecot packages fix privilege escalation
Date: Sat, 15 Mar 2008 09:30:11 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.1.7-deb
Message-id: <47DB1887.5090803@xxxxxxxxxxxx>
X-mail-count: 50236
User-agent: Thunderbird 2.0.0.12 (Macintosh/20080213)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-

- ----------------------------------------------------------------------
Debian Security Advisory DSA-1516-1                security@debian.org
http://www.debian.org/security/                         Florian Weimer
March 14, 2008                      http://www.debian.org/security/faq
- ----------------------------------------------------------------------

Package        : dovecot
Vulnerability  : 特権の昇格
Problem type   : ローカル
Debian-specific: いいえ
CVE Id(s)      : CVE-2008-1199 CVE-2008-1218
Debian Bug     : 469457

CVE-2008-1199
  この更新以前は、Debian で設定している既定の Dovecot の設定は、サーバを
  mail グループ権限で走らせるというものでした。これにより、他の方法 (例
  えば SSH ログインなどで) 自分のメールディレクトリに書き込み権限のある
  ユーザが、直接の書き込み権限の無い他のユーザのメールボックスの読み出し
  が可能になっていました。

CVE-2008-1218
  パスワード処理の内部の解釈矛盾により、パスワードチェックの迂回の可能性
  があります。但し、この問題の攻撃手法は知られていません。

この更新では、人手修正が必要となることに注意ください。
mail_extra_groups = mail という設定は、mail_privileged_group = mail に置
き換えられています。また、この更新では、/etc/dovecot/dovecot.conf 設定フ
ァイル中の矛盾を表示するようにしています。このため、現在インストールされ
ている設定ファイルを保存しておき、変更を受ける行だけを修正することを勧め
ます、参考のため、設定ファイルのサンプル (ローカルの変更を含まないもの)
が、/etc/dovecot/dovecot.conf.dpkg-new に格納されています。

現在の設定が、mail 以外の mail_extra_groups を使うようにしている場合、
mail_extra_groups 設定ディレクティブを元に戻す必要があります。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 1.0.rc15-2etch4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 1.0.13-1 で修正されています。

旧安定版での更新は提供されません。安定版へのアップグレードを検討ください。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

ソースアーカイブ:

  http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.dsc
    Size/MD5 checksum:     1300 8146ccf246ed64e1ac8c0127489ec798
  http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15.orig.tar.gz
    Size/MD5 checksum:  1463069 26f3d2b075856b1b1d180146363819e6
  http://security.debian.org/pool/updates/main/d/dovecot/dovecot_1.0.rc15-2etch4.diff.gz
    Size/MD5 checksum:   102991 21959fc45cf0f8932fa9eb890791ff39

alpha architecture (DEC Alpha)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_alpha.deb
    Size/MD5 checksum:   583482 a0d18885da096140ceb4110d525569d4

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_alpha.deb
    Size/MD5 checksum:  1379844 6103bce830848d3f9bb4347f5c9b94f0

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_alpha.deb
    Size/MD5 checksum:   621320 48127903af1fe2130cb84c57e5a607ff

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_amd64.deb
    Size/MD5 checksum:  1222430 1c2e1ffeb6bf745ed88cde01c62d264a

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_amd64.deb
    Size/MD5 checksum:   536634 4f64ed0cc16510e9c3d709342b3c57ca

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_amd64.deb
    Size/MD5 checksum:   569588 c17bac715f188f55ae20e5a3c95109b1

arm architecture (ARM)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_arm.deb
    Size/MD5 checksum:  1123030 47eb9fddcc68c2c213afa10c8e3d8747

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_arm.deb
    Size/MD5 checksum:   506134 0f4d939f2cf68f4e5b01140c846e50bc

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_arm.deb
    Size/MD5 checksum:   537564 82310ae4e42406429f8ade7cbb81abf0

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_hppa.deb
    Size/MD5 checksum:  1298818 603d12284115b6349e1d0334263d2af0

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_hppa.deb
    Size/MD5 checksum:   562192 413ac964849698428c1b08e9cc9075bc

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_hppa.deb
    Size/MD5 checksum:   598934 811c32b5c7e2009e5bf2f0ee0ea26859

i386 architecture (Intel ia32)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_i386.deb
    Size/MD5 checksum:  1133484 3bf26ab783ddffed0b3c5ee53225ba20

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_i386.deb
    Size/MD5 checksum:   546528 d53c11fd1c39870bd208d684e70e7551

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_i386.deb
    Size/MD5 checksum:   514280 e85dcbcdd9b85f6e09cdeb4c82b47916

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_ia64.deb
    Size/MD5 checksum:   793878 106fe266dd26373615772b4e3636a914

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_ia64.deb
    Size/MD5 checksum:   737582 18b15162711b22a704d0ff1ff26e0261

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_ia64.deb
    Size/MD5 checksum:  1701788 7535b0a3407f664efa66bcf86966ff85

mips architecture (MIPS (Big Endian))


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mips.deb
    Size/MD5 checksum:   559520 96d7ff1bbd3a38fbdd3bd06b4bc939fb

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mips.deb
    Size/MD5 checksum:   594680 41536feb8048183b78f0d1742278520c

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mips.deb
    Size/MD5 checksum:  1265800 a42823e1253c78709d5d1c18668d9b40

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_mipsel.deb
    Size/MD5 checksum:  1268408 25c8582fea24e3174283066b7c8b6525

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_mipsel.deb
    Size/MD5 checksum:   594912 264c368593a3fe7a9268aadee2ab1292

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_mipsel.deb
    Size/MD5 checksum:   558832 d2a20bbfe49d234d0f3c7911c17c9bfb

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_powerpc.deb
    Size/MD5 checksum:   569772 e49cc25c54e4fa88217e0fa555de6039

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_powerpc.deb
    Size/MD5 checksum:   536000 92330b2d1fa2ae8bf6c1b8f05cea3d59

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_powerpc.deb
    Size/MD5 checksum:  1212096 e2339d417408e14eba21b28684926a5b

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_s390.deb
    Size/MD5 checksum:   559786 3f7faca1fa56aa29a013068e14e7fada

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_s390.deb
    Size/MD5 checksum:  1290186 5b8722445aab8b59ba15beae695e7f77

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_s390.deb
    Size/MD5 checksum:   595498 ad3af123ee9c10dece62ff7cf0e84b35

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/d/dovecot/dovecot-imapd_1.0.rc15-2etch4_sparc.deb
    Size/MD5 checksum:   533482 576d0f5a1a733dad01c868095488afcf

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-common_1.0.rc15-2etch4_sparc.deb
    Size/MD5 checksum:  1108250 1ac8086c83312fec554abd74074cf7b2

http://security.debian.org/pool/updates/main/d/dovecot/dovecot-pop3d_1.0.rc15-2etch4_sparc.deb
    Size/MD5 checksum:   501514 27d4aa890df60532d0a33167df7af219


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:50235] 第10回関西 Debian 勉強会のお知らせ
Next by Date: [debian-users:50237] Matrox G550ドライバのインストール
Previous by thread: [debian-users:50235] 第10回関西 Debian 勉強会のお知らせ
Next by thread: [debian-users:50237] Matrox G550ドライバのインストール
Index(es):
- Date
- Thread