Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
dovecot
(Unknown)
Описание
Уязвимость обхода каталога в index/mbox/mbox-storage.c в Dovecot при использовании плагина zlib позволяет злоумышленникам, действующим удаленно, читать произвольные почтовые ящики (файлы mbox) в формате gz, используя последовательности .. (точка точка) в имени почтового ящика.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.dovecot.org/
http://www.dovecot.org/
Ссылки
BUGTRAQ (20070418 rPSA-2007-0074-1 dovecot): http://www.securityfocus.com/archive/1/archive/1/466168/100/0/threaded
MLIST ([dovecot-cvs] 20070330 dovecot/src/lib-storage/index/mbox mbox-storage.c, 1.145.2.14, 1.145.2.15): http://dovecot.org/list/dovecot-cvs/2007-March/008488.html
MLIST ([dovecot-news] 20070330 Security hole #3: zlib plugin allows opening any gziped mboxes): http://dovecot.org/list/dovecot-news/2007-March/000038.html
http://dovecot.org/doc/NEWS
BID (23552): http://www.securityfocus.com/bid/23552
FRSIRT (ADV-2007-1452): http://www.frsirt.com/english/advisories/2007/1452
SUSE (SUSE-SR:2007:008): http://www.novell.com/linux/security/advisories/2007_8_sr.html
MLIST ([dovecot-cvs] 20070330 dovecot/src/lib-storage/index/mbox mbox-storage.c, 1.145.2.14, 1.145.2.15): http://dovecot.org/list/dovecot-cvs/2007-March/008488.html
MLIST ([dovecot-news] 20070330 Security hole #3: zlib plugin allows opening any gziped mboxes): http://dovecot.org/list/dovecot-news/2007-March/000038.html
http://dovecot.org/doc/NEWS
BID (23552): http://www.securityfocus.com/bid/23552
FRSIRT (ADV-2007-1452): http://www.frsirt.com/english/advisories/2007/1452
SUSE (SUSE-SR:2007:008): http://www.novell.com/linux/security/advisories/2007_8_sr.html