Vulnérabilité dans Dovecot

Gestion du document

Référence	CERTA-2010-AVI-472
Titre	Vulnérabilité dans Dovecot
Date de la première version	06 octobre 2010
Date de la dernière version	06 octobre 2010
Source(s)	Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à l'intégrité des données ;
atteinte à la confidentialité des données.

Systèmes affectés

Dovecot versions 1.2.8 jusqu'à 1.2.14 ;
Dovecot versions 2.0 jusqu'à 2.0.4.

Résumé

Une vulnérabilité présente dans Dovecot permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité des données.

Description

Une erreur est présente dans la gestion de certaines ACL (Access Control List). Ainsi, sous certaines conditions, un utilisateur authentifié malintentionné peut obtenir, par exemple, l'accès à d'autres boîtes de façon illicite.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 1.2.15 et 2.0.5 corrigent le problème :

http://www.dovecot.org/download.html

Documentation

Site de Dovecot :
```
http://www.dovecot.org
```

Liste des changements apportés aux versions 1.2.15 et 2.0.5 de Dovecot :

http://www.dovecot.org/list/dovecot/2010-October/053450.html

http://www.dovecot.org/list/dovecot/2010-October/053451.html

http://www.dovecot.org/list/dovecot/2010-October/053452.html

Référence CVE CVE-2010-3706 :

https://www.cve.org/CVERecord?id=CVE-2010-3706

Référence CVE CVE-2010-3707 :

https://www.cve.org/CVERecord?id=CVE-2010-3707

Avis du CERT-FR

Objet: Vulnérabilité dans Dovecot