Tek Güncellemede Sekiz Açık: Dovecot Güvenlik Paketi ve Ne Yapmalısınız
Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer. Konuyu, kabaca önem sırasına göre ele alalım. Asıl Tehlikeli Olanlar CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK) Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin. ...