Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Dovecot LDAP Auth Cache Contournement de la Sécurité

02/01/2008 10H30
Référence Secunia : SA28271 
Date de publication : 2008-01-02

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Dovecot 1.x


Description :
Une faille de sécurité a été rapportée dans Dovecot, qui pourrait être exploitée par des utilisateurs malicieux pour passer outre certaines restrictions de sécurité.

Le problème de sécurité est causé du fait d'une erreur dans la fonctionnalité d'authentification LDAP quand auth cache est actif. Cela pourrait être exploité par un utilisateur malicieux à s'authentifier avec la même cached "pass_attrs" d'un autre utilisateur (par ex. obtenir l'accès à la boîte de messagerie d'un autre utilisateur), qui est authentifiée "auth_cache_ttl" secondes avant l'utilisateur malicieux.

L'exploitation de ce problème requière des paramètres de configuration non par défaut et que les deux utilisateurs partagent la même "password" et la variable "pass_filter"s. Veuillez voir le bulletin de l'éditeur pour plus de détails.

Le problème de sécurité est rapporté en versions 1.0.rc11 à 1.0.9.


Solutions :
Mettre à jour en version 1.0.10.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://www.dovecot.org/list/dovecot-news/2007-December/000057.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.