Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
dovecot
(Unknown)
Описание
Когда Dovecot настроен на использование mail_extra_groups, Dovecot может создавать dotlocks в /var/mail, что может позволить локальным пользователям прочитать конфиденциальные почтовые файлы других пользователей или изменять файлы или каталоги, которые доступны для чтения группе, используя атаку symlink.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.dovecot.org/
http://www.dovecot.org/
Ссылки
BID (28092): http://www.securityfocus.com/bid/28092
MLIST ([Dovecot-news] 20080504 v1.0.11 released): http://www.dovecot.org/list/dovecot-news/2008-March/000061.html
FEDORA (FEDORA-2008-2475): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00381.html
FEDORA (FEDORA-2008-2464): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00358.html
XF (dovecot-mailextragroups-unauth-access(41009)): http://xforce.iss.net/xforce/xfdb/41009
UBUNTU (USN-593-1): http://www.ubuntulinux.org/support/documentation/usn/usn-593-1
BUGTRAQ (20080304 Dovecot mail_extra_groups setting is often used insecurely): http://www.securityfocus.com/archive/1/archive/1/489133/100/0/threaded
REDHAT (RHSA-2008:0297): http://www.redhat.com/support/errata/RHSA-2008-0297.html
DEBIAN (DSA-1516): http://www.debian.org/security/2008/dsa-1516
GENTOO (GLSA-200803-25): http://security.gentoo.org/glsa/glsa-200803-25.xml
SUSE (SUSE-SR:2008:020): http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00004.html
MLIST ([Dovecot-news] 20080504 v1.0.11 released): http://www.dovecot.org/list/dovecot-news/2008-March/000061.html
FEDORA (FEDORA-2008-2475): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00381.html
FEDORA (FEDORA-2008-2464): https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00358.html
XF (dovecot-mailextragroups-unauth-access(41009)): http://xforce.iss.net/xforce/xfdb/41009
UBUNTU (USN-593-1): http://www.ubuntulinux.org/support/documentation/usn/usn-593-1
BUGTRAQ (20080304 Dovecot mail_extra_groups setting is often used insecurely): http://www.securityfocus.com/archive/1/archive/1/489133/100/0/threaded
REDHAT (RHSA-2008:0297): http://www.redhat.com/support/errata/RHSA-2008-0297.html
DEBIAN (DSA-1516): http://www.debian.org/security/2008/dsa-1516
GENTOO (GLSA-200803-25): http://security.gentoo.org/glsa/glsa-200803-25.xml
SUSE (SUSE-SR:2008:020): http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00004.html