Dovecot ekibi, 5 Mayıs 2026 tarihinde OXDC-2026-0002 güvenlik duyurusunu yayımladı. Duyuru, OX Dovecot CE 2.4.4 (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok.
Açıklamanın içeriği
CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4)
Beşinin en ciddisi bu. Dovecot’ın lib-var-expand modülünde safe filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4’ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda safe filtresini kullanmaktan kaçınmak.
CVE-2026-40016 — Sieve CPU sınırını aşma, 130 kata kadar (CVSS 5.3)
ManageSieve erişimi olan (ya da Sieve betiği yükleyebilen) bir saldırgan, :contains/:matches eşleştirmesindeki O(N×M) karmaşıklığından yararlanarak sieve_max_cpu_time sınırını 130 katına kadar aşabiliyor. Sunucu yüküne bağlı olarak ciddi bir hizmet engelleme vektörü. Geçici çözüm: ManageSieve erişimini güvenilir kullanıcılarla kısıtlamak ya da yamayı kuruncaya dek devre dışı bırakmak.
CVE-2026-33603 — SCRAM TLS kanal bağlama ortadaki adam saldırısı (CVSS 6.8)
Base64 kimlik doğrulama verisindeki sekme karakterleri Dovecot’ın IPC korumasını atlatıyor; ağa yakın konumdaki bir saldırgan SCRAM TLS kanal bağlamayı taklit edip Dovecot ile istemci arasında kendini konumlandırabiliyor. Saldırı vektörü “Adjacent” (ağa yakın) olduğundan istismar alanı sınırlı, ama çözüm tek: güncelle.
CVE-2026-40020 — IMAP SETACL herkese enjeksiyon (CVSS 3.1)
imap_acl_allow_anyone=no ayarlı olsa bile, kimliği doğrulanmış bir kullanıcı IMAP SETACL komutuyla dovecot-acl dosyasına anyone iznini ekleyebiliyor ve böylece kendi klasörleri tüm diğer kullanıcıların listesinde beliriyor. Yetkisiz veri erişimi söz konusu değil, ama bunu müşterilere açıklamak zahmetli bir iş.
CVE-2026-42006 — imap-login bellek DoS, ikinci tur (CVSS 4.3)
Bu, OXDC-2026-0001’de yamalanan CVE-2026-27857’nin devamı niteliğinde. Önceki düzeltme yalnızca fazla kapanan parantezleri engelliyordu; saldırgan fazla açılan parantezlerle aynı bellek sınırına ulaşabiliyordu. Bu sefer düzgünce çözüldü. Hemen yükseltemiyorsanız imap süreci için düşük bir vsz_limit tanımlamak iyi bir geçici önlem.
Etkilenen sürümler
Beş CVE de Dovecot CE 2.4.4 ve Dovecot Pro 3.1.5 sürümlerinde giderildi. CVE-2026-40016, Pro tarafında 2.3.0’a kadar uzanıyor — Sieve motorunda uzun süredir gizlenen bir hata.
kalfaoglu.net müşterileri için ne anlama geliyor
Tüm paylaşımlı ve yönetilen barındırma hesaplarında IMAP/POP3 erişimi için Dovecot kullanıyoruz. Güvenlik duyurularını düzenli olarak takip ediyor, yamaları rutin bakım süreçlerimizde uyguluyoruz. CVE-2026-27851 — SQL/LDAP enjeksiyon yolu — özellikle öncelik verdiğimiz açıktı ve altyapımıza yansıtıldı.
VPS’inizi kendiniz yönetiyorsanız ve Dovecot kuruluysa sürümünüzü dovecot --version komutuyla kontrol edin. Paket yöneticinizle güncelleyin; Debian/Ubuntu kullanıyorsanız dağıtım repolarının 2.4.4’ü henüz sunmadığı durumda repo.dovecot.org adresini eklemek gerekebilir.
Özet
Beş CVE, bir güncelleme, iş bitti. En yüksek puanı alan (7.4) açık, kimlik doğrulama katmanında oturuyor — yanlış yerde bir yama açığı. Kalanlar orta ile can sıkıcı arasında seyrediyor. 2.4.4’e geçin ve devam edin.