Scientific Linux 安全性更新：SL5.x i386/x86_64 上的 dovecot

medium Nessus Plugin ID 60524

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

在 Dovecot 的 ACL 外掛程式中發現一個瑕疵。ACL 外掛程式將負存取權視為正權限處理，進而允許攻擊者繞過預定的存取限制。(CVE-2008-4577)

在 Dovecot 的組態檔中發現一個密碼洩漏瑕疵。如果系統已定義 'ssl_key_password' 選項，任何本機使用者便可檢視 SSL 金鑰密碼。(CVE-2008-4870)

注意：此瑕疵並未允許攻擊者取得 SSL 金鑰的內容。若無任意使用者不應有讀取存取的金鑰檔，密碼便不會有值。

然而，為進一步保護此值，dovecot.conf 檔案現會支援 '!include_try' 指示詞。ssl_key_password 選項應從 dovecot.conf 移至 root (即 0600) 擁有且只能由 root 讀寫的新檔案。應設定 '!include_try [/path/to/password/file]' 選項，以從 dovecot.conf 參照此檔案。

此外，此更新還可解決下列錯誤：

- dovecot init 指令碼 -- /etc/rc.d/init.d/dovecot -- 並未檢查 dovecot 二進位或組態檔是否存在。這也會使用錯誤的 pid 檔案來檢查 dovecot 服務的狀態。此更新內含可更正這些錯誤的新 init 指令碼。

- dovecot 規格檔的 %files 區段不含 '%dir %{ssldir}/private'。因此，/etc/pki/private/ 目錄並非由 dovecot 擁有。
(注意：/etc/pki/private/ 中的檔案之前和現在都並非由 dovecot 擁有。)透過此更新，遺漏的行已新增至規格檔，且上述目錄現已由 dovecot 擁有。

- 在某些舊版的 dovecot 中，驗證處理程序接受 (且傳遞時無逸出) 的密碼含有對 dovecot 的內部通訊協定有特別意義的字元。此更新版會避免傳回這種密碼，而是傳回錯誤「嘗試以包含非法字元的密碼登入」。

請注意：Scientific Linux 5 之前隨附的 dovecot 版本並不允許此行為。此更新可解決上述問題，但該問題只存於 Scientific Linux 5 先前未隨附的 dovecot 版本之中。