Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 octobre 2010

N° CERTA-2010-AVI-472

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Dovecot

Gestion du document

Référence	CERTA-2010-AVI-472
Titre	Vulnérabilité dans Dovecot
Date de la première version	06 octobre 2010
Date de la dernière version	06 octobre 2010
Source(s)	Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés

Dovecot versions 1.2.8 jusqu'à 1.2.14 ;
Dovecot versions 2.0 jusqu'à 2.0.4.

Résumé

Une vulnérabilité présente dans Dovecot permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité des données.

Description

Une erreur est présente dans la gestion de certaines ACL (Access Control List). Ainsi, sous certaines conditions, un utilisateur authentifié malintentionné peut obtenir, par exemple, l'accès à d'autres boîtes de façon illicite.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 1.2.15 et 2.0.5 corrigent le problème :

http://www.dovecot.org/download.html

Documentation

Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot :

http://www.dovecot.org/list/dovecot/2010-October/053452.html

Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot :

http://www.dovecot.org/list/dovecot/2010-October/053450.html

Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot :

http://www.dovecot.org/list/dovecot/2010-October/053451.html

Site de Dovecot :

http://www.dovecot.org

Référence CVE CVE-2010-3706

https://www.cve.org/CVERecord?id=CVE-2010-3706

Référence CVE CVE-2010-3707

https://www.cve.org/CVERecord?id=CVE-2010-3707

Gestion détaillée du document

le 06 octobre 2010: version initiale.