Dovecot

Dovecot ekibi, 5 Mayıs 2026 tarihinde OXDC-2026-0002 güvenlik duyurusunu yayımladı. Duyuru, OX Dovecot CE 2.4.4 (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok. Açıklamanın içeriği CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4) Beşinin en ciddisi bu. Dovecot’ın lib-var-expand modülünde safe filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4’ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda safe filtresini kullanmaktan kaçınmak. ...

Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer. Konuyu, kabaca önem sırasına göre ele alalım. Asıl Tehlikeli Olanlar CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK) Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin. ...