Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer.

Konuyu, kabaca önem sırasına göre ele alalım.

Asıl Tehlikeli Olanlar

CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK)

Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin.

CVE-2026-0394 — Passwd-file passdb’de dizin geçişi (kimlik doğrulama öncesi)

Dovecot, alan adına göre ayrılmış passwd dosyaları kullanacak biçimde yapılandırılmışsa ve bu dosyalar /etc dizininin hemen bir üst konumundaysa, dosya yolundaki %d (domain) genişlemesi dizin sınırını aşarak /etc/passwd dosyasını açabiliyor. Standart kurulumlarda bu senaryo çoğunlukla geçerli değil; ancak alan adı bazlı passwd dosyaları kullanıyorsanız yapılandırmanızı şimdi gözden geçirin. /etc/passwd dosyasının okunması tek başına ciddi bir sorun; orada herhangi bir biçimde parola saklanıyorsa tablo daha da ağırlaşıyor.

CVE-2026-27856 — Doveadm zamanlama saldırısı (CVSS 7.4, YÜKSEK)

Dovecot’un doveadm yönetim arayüzü, kimlik bilgilerini sabit süreli karşılaştırma yapmaksızın doğruluyor. Bu durum, ağ erişimi olan bir saldırganın yeterli sayıda istek göndererek doveadm parolasını istatistiksel olarak çıkarmasına zemin hazırlıyor. Ardından tam yönetici erişimi geliyor. Doveadm genellikle genel internete açık tutulmaz; ama sizinki açıksa bu açığı öncelikli kritik olarak değerlendirin.

Sıkıntı Çıkaranlar

Paketteki kalan üç açık hizmet engelleme (DoS) türünde:

  • CVE-2026-27857: İç içe yaklaşık 4.000 parantez içeren bir NOOP komutu, bağlantı başına ~1 MB ek bellek tüketimi yaratıyor. 1.000 eş zamanlı bağlantıyla ~1 GB bellek dolabilir ve imap-login süreci çökebilir.
  • CVE-2026-27858: Managesieve-login daemon’ına yönelik benzer bir DoS. Kimlik doğrulama öncesi gönderilen özel hazırlanmış bir mesaj, herhangi bir kimlik bilgisi denetlenmeden büyük bellek tahsisine yol açıyor.
  • CVE-2026-27859: v3.0.2 sürümünde ortaya çıkan bir regresyon. Aşırı sayıda RFC 2231 MIME parametresi içeren iletiler, LMTP’nin CPU’yu orantısız biçimde kullanmasına neden oluyor. Bozuk biçimlendirilmiş mesajlarla gelen postayı yavaşlatmak isteyen biri için düşük çabalı bir yöntem.

Uzaktan kod çalıştırma söz konusu değil; ancak DoS vektörleri kolayca tetiklenebilir ve yoğun sunucularda gerçek posta teslimat sorunlarına kapı aralıyor.

Yamalamak

Dovecot, sekiz CVE’nin tamamını aynı yayın penceresinde kapattı. Dağıtımlarda güncel paket sürümleri:

  • Debian bookworm (12): 1:2.3.19.1+dfsg1-2.1+deb12u2
  • Debian trixie (13): 1:2.4.1+dfsg1-6+deb13u4
  • Ubuntu: USN-8136-1 (ardından gelen regresyon düzeltmesi: USN-8136-2)
  • RHEL / AlmaLinux / Rocky: Kendi sağlayıcınızın dovecot paketi için yayımladığı errata’yı kontrol edin.

Debian veya Ubuntu’da apt update && apt upgrade dovecot-core komutu yeterli. Yüklü sürümü dovecot --version ya da apt-cache policy dovecot-core ile doğrulayın. Sürüm yukarıdaki yamadan eskiyse sunucunuz açığa karşı korumasız demektir.

kalfaoglu.net Müşterileri İçin Ne Anlama Geliyor?

kalfaoglu.net paylaşımlı hosting planlarından birini kullanıyorsanız, posta sunucularımız Dovecot çalıştırıyor ve yamalar kullanıma sunulur sunulmaz uygulandı. Sizin tarafınızda yapmanız gereken herhangi bir şey yok.

Kendi VPS veya sunucunuzu yönetiyorsanız ve IMAP ya da POP3 için Dovecot kuruluysa: şimdi yama uygulayın. SQL enjeksiyonu ve zamanlama saldırısı açıkları teorik değil, gerçekten istismar edilebilir nitelikte — ilgili servise erişimi olan kararlı bir saldırgan için. DoS vektörleri ise çok daha az beceri gerektiriyor.

Hangi sürümün kurulu olduğundan emin değilseniz, SSH üzerinden şunu çalıştırın:

# Debian / Ubuntu
apt-cache policy dovecot-core

# RHEL / AlmaLinux / Rocky
rpm -q dovecot

v2.4 kullananlar için önemli bir not: CVE-2026-24031, kimlik doğrulama altyapısında köklü değişiklikler getiren v2.4 dalına özgü ilk ciddi güvenlik açığı olma özelliğini taşıyor. Yeni bir dala geçiş yaptığınızda, yapılandırmaya duyarlı hataların yayın sonraki aylarda gün yüzüne çıkması olağan bir durum. Dovecot güvenlik posta listesini takip etmek ya da otomatik güvenlik güncellemelerini etkin tutmak, küçük bir ek yük karşılığında ciddi bir önlem.