CERTA-2007-AVI-573

Vulnerability from certfr_avis - Published: 2007-12-31 - Updated: 2007-12-31

Une vulnérabilité dans Dovecot permet à un utilisateur distant de contourner la politique de sécurité du serveur vulnérable.

Description

Dovecot est un serveur de boîtes de courriel supportant les protocoles IMAP et POP3 ainsi que leurs pendants chiffrés : IMAPS et POP3S. Une vulnérabilité a été identifiée dans Dovecot. Elle est relative à la mise en œuvre de l'authentification basée sur un annuaire LDAP. Elle permet, sous certaines conditions, à un utilisateur déjà authentifié d'avoir accès au contenu d'une boîte d'un autre utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Dovecot versions 1.0.9 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eDovecot versions 1.0.9 et ant\u00e9rieures.\u003c/p\u003e",
  "content": "## Description\n\nDovecot est un serveur de bo\u00eetes de courriel supportant les protocoles\nIMAP et POP3 ainsi que leurs pendants chiffr\u00e9s : IMAPS et POP3S. Une\nvuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Dovecot. Elle est relative \u00e0 la mise\nen \u0153uvre de l\u0027authentification bas\u00e9e sur un annuaire LDAP. Elle permet,\nsous certaines conditions, \u00e0 un utilisateur d\u00e9j\u00e0 authentifi\u00e9 d\u0027avoir\nacc\u00e8s au contenu d\u0027une bo\u00eete d\u0027un autre utilisateur.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2007-12-31T00:00:00",
  "last_revision_date": "2007-12-31T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 du port FreeBSD de Dovecot du 29    d\u00e9cembre 2007 :",
      "url": "http://www.vuxml.org/freebsd/pkg-dovecot.html"
    },
    {
      "title": "Site de Dovecot :",
      "url": "http://www.dovecot.org"
    },
    {
      "title": "Bulletin de publication de la version 1.0.10 de Dovecot du    29 d\u00e9cembre 2007 :",
      "url": "http://www.dovecot.org/list/dovecot-news/2007-December/000058.html"
    }
  ],
  "reference": "CERTA-2007-AVI-573",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-12-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans Dovecot permet \u00e0 un utilisateur distant de\ncontourner la politique de s\u00e9curit\u00e9 du serveur vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Dovecot",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de publication de la version 1.0.10 de Dovecot du 29 d\u00e9cembre 2007",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.