S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 décembre 2007
N° CERTA-2007-AVI-573
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Dovecot

Gestion du document

Référence CERTA-2007-AVI-573
Titre Vulnérabilité dans Dovecot
Date de la première version31 décembre 2007
Date de la dernière version31 décembre 2007
Source(s) Bulletin de publication de la version 1.0.10 de Dovecot du 29 décembre 2007

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

Dovecot versions 1.0.9 et antérieures.

Résumé

Une vulnérabilité dans Dovecot permet à un utilisateur distant de contourner la politique de sécurité du serveur vulnérable.

Description

Dovecot est un serveur de boîtes de courriel supportant les protocoles IMAP et POP3 ainsi que leurs pendants chiffrés : IMAPS et POP3S. Une vulnérabilité a été identifiée dans Dovecot. Elle est relative à la mise en œuvre de l'authentification basée sur un annuaire LDAP. Elle permet, sous certaines conditions, à un utilisateur déjà authentifié d'avoir accès au contenu d'une boîte d'un autre utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 décembre 2007
    version initiale.