Scientific Linux 安全更新：SL5.x i386/x86_64 中的 dovecot

medium Nessus 插件 ID 60524

语言：

简介

远程 Scientific Linux 主机缺少安全更新。

描述

在 Dovecot 的 ACL 插件中发现一个缺陷。ACL 插件将消极访问权限视为积极权限，这样可允许攻击者绕过预期访问限制。(CVE-2008-4577)

发现 Dovecot 配置文件的一个密码泄露缺陷。如果系统启用了“ssl_key_password”选项，则本地用户可查看 SSL 密钥密码。(CVE-2008-4870)

注意：此缺陷未允许攻击者获取 SSL 密钥的内容。如果缺少任意用户不应具有读取访问权限的密钥文件，密码将毫无价值。

但是，为更好地保护此值，dovecot.conf 文件现在支持“!include_try”指令。应将 ssl_key_password 选项从 dovecot.conf 移动到属于根（即 0600）且仅可由根读取的新文件。应通过设置"!include_try [/path/to/password/file]"选项从 dovecot.conf 引用此文件。

此外，此更新还解决了以下缺陷：

- dovecot init 脚本 -- /etc/rc.d/init.d/dovecot -- 未检查 dovecot 二进制或配置文件是否存在。它还将错误的 pid 文件用于检查 dovecot 服务的状态。此更新包含新的 init 脚本，修正了这些错误。

- dovecot spec 文件的 %files 部分未包含“%dir %{ssldir}/private”。因此，/etc/pki/private/ 目录不属于 dovecot。
（注意：/etc/pki/private/ 内过去和现在的文件都属于 dovecot。）通过此更新，spec 文件中添加了缺少的行，所述目录现在属于 dovecot。

- 在之前发布的某些 dovecot 版本中，认证流程接受（并以未转义形式传递）包含对 dovecot 的内部协议具有特殊含义字符的密码。此更新后的版本会防止传回此类密码，而是返回“Attempted login with password having illegal chars”错误。

注意：Scientific Linux 5 之前随附的 dovecot 版本不允许此行为。此更新解决了以上问题，但仅之前未随附于 Scientific Linux 5 的 dovecot 版本中才存在上述问题。