https://blog.kalfaoglu.net/tr/tags/dovecot/Recent content in Dovecot on kalfaoglu.netHugotrMon, 04 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-04-dovecot-security-advisory-tr/Mon, 04 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-04-dovecot-security-advisory-tr/<p>Mart ayının sonunda Dovecot geliştirici ekibi, <a href="https://seclists.org/fulldisclosure/2026/Mar/13">OXDC-ADV-2026-0001</a> koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE&rsquo;yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer.</p> <p>Konuyu, kabaca önem sırasına göre ele alalım.</p> <h2 id="asıl-tehlikeli-olanlar">Asıl Tehlikeli Olanlar</h2> <p><strong>CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK)</strong></p> <p>Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin <code>auth_username_chars</code> parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4&rsquo;e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin.</p>