Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Dovecot ACL Plugin Contournement de la Sécurité : Failles de Sécurité

06/10/2008 12H39
Référence Secunia : SA321642008-10-06
Relativement faible. Critique Niveau 2 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Dovecot 1.x


Description :
Deux problèmes de sécurité ont été identifiés dans Dovecot, qui pourraient être exploités par des utilisateurs malicieux pour passer outre certaines restrictions de sécurité.

1) Le problème est que le plugin ACL interprète des droits d'accès négatifs comme des droits d'accès positifs, potentiellement offrant à un utilisateur non privilégié l'accès à des ressources restreintes.

2) Une erreur dans le ACL plugin en imposant les restrictions de création de boîte de réception pourrait être exploitée pour créer "parent/child/child" mailboxes.

Les failles de sécurité sont rapportées en versions inférieures à 1.1.4.


Solutions :
Mettre à jour en version 1.1.4.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://www.dovecot.org/list/dovecot-news/2008-Octobre/000085.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.