blob: f80e806922cd3cea3febaa1b94679377d2ca239f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>特権の昇格</define-tag>
<define-tag moreinfo>
<p>この更新以前は、Debian で設定している既定の Dovecot の設定は、サーバを
mail グループ権限で走らせるというものでした。これにより、他の方法 (例
えば SSH ログインなどで) 自分のメールディレクトリに書き込み権限のある
ユーザが、直接の書き込み権限の無い他のユーザのメールボックスの読み出し
が可能になっていました (<a href="https://security-tracker.debian.org/tracker/CVE-2008-1199">CVE-2008-1199</a>)。
さらに、パスワード処理の内部の解釈矛盾により、パスワードチェックの迂回の可能性
があります。但し、この問題の攻撃手法は知られていません (<a href="https://security-tracker.debian.org/tracker/CVE-2008-1218">CVE-2008-1218</a>)。</p>
<p>この更新では、人手修正が必要となることに注意ください。
<q>mail_extra_groups = mail</q> という設定は、<q>mail_privileged_group = mail</q> に置
き換えられています。また、この更新では、/etc/dovecot/dovecot.conf 設定フ
ァイル中の矛盾を表示するようにしています。このため、現在インストールされ
ている設定ファイルを保存しておき、変更を受ける行だけを修正することを勧め
ます、参考のため、設定ファイルのサンプル (ローカルの変更を含まないもの)
が、/etc/dovecot/dovecot.conf.dpkg-new に格納されています。</p>
<p>現在の設定が、<q>mail</q> 以外の <code>mail_extra_groups</code> を使うようにしている場合、
<code>mail_extra_groups</code> 設定ディレクティブを元に戻す必要があります。</p>
<p>旧安定版での更新は提供されません。安定版へのアップグレードを検討ください。</p>
<p>安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 1.0.rc15-2etch4 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 1.0.13-1 で修正されています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1516.data"
# $Id$
|
