製品・ソフトウェアに関する情報

JVN脆弱性詳細

Dovecot における任意のユーザアカウントにアクセスされる脆弱性

Title	Dovecot における任意のユーザアカウントにアクセスされる脆弱性
Summary	Dovecot は、インストール時に特定のディレクトリ作成中に0777 パーミッションを設定するため、任意のユーザアカウントにアクセスされる脆弱性が存在します。
Possible impacts	ローカルユーザにより、auth ソケットを置換されることで、任意のユーザアカウントにアクセスされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 20, 2009, midnight
Registration Date	June 26, 2012, 4:18 p.m.
Last Update	June 26, 2012, 4:18 p.m.

CVSS2.0 : 警告
Score	4.6
Vector	AV:L/AC:L/Au:N/C:P/I:P/A:P

Affected System

Timo Sirainen

Dovecot 1.2.8 未満の 1.2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3897	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3897
National Vulnerability Database (NVD)
2	CVE-2009-3897	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3897

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
dovecot
1	v1.2.8 released	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3897

Summary	Dovecot 1.2.x before 1.2.8 sets 0777 permissions during creation of certain directories at installation time, which allows local users to access arbitrary user accounts by replacing the auth socket, related to the parent directories of the base_dir directory, and possibly the base_dir directory itself.
Summary	Dovecot v1.2.x anterior v1.2.8 establece permisos 0777 durante la creación de ciertos directorios en el momento de la instalación, permitiendo a usuarios locales acceder a las cuentas de usuarios por reemplazamiento del socket auth, relacionados con los directorios padre del directorio base_dir, y probablemente con el propio directorio base_dir
Publication Date	Nov. 25, 2009, 2:30 a.m.
Registration Date	Jan. 29, 2021, 1:25 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:dovecot:dovecot::::::::		1.2.0			1.2.8

Related information, measures and tools

No	URL	refsource
1	http://lists.opensuse.org/opensuse-security-announce/2010-01/msg00007.html	secalert@redhat.com
2	http://marc.info/?l=oss-security&m=125871729029145&w=2	secalert@redhat.com
3	http://marc.info/?l=oss-security&m=125881481222441&w=2	secalert@redhat.com
4	http://marc.info/?l=oss-security&m=125900267208712&w=2	secalert@redhat.com
5	http://marc.info/?l=oss-security&m=125900271508796&w=2	secalert@redhat.com
6	http://secunia.com/advisories/37443	secalert@redhat.com
7	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html	secalert@redhat.com
8	http://www.mandriva.com/security/advisories?name=MDVSA-2009:306	secalert@redhat.com
9	http://www.osvdb.org/60316	secalert@redhat.com
10	http://www.securityfocus.com/bid/37084	secalert@redhat.com
11	http://www.vupen.com/english/advisories/2009/3306	secalert@redhat.com
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/54363	secalert@redhat.com
13	http://lists.opensuse.org/opensuse-security-announce/2010-01/msg00007.html	af854a3a-2127-422b-91ae-364da2661108
14	http://marc.info/?l=oss-security&m=125871729029145&w=2	af854a3a-2127-422b-91ae-364da2661108
15	http://marc.info/?l=oss-security&m=125881481222441&w=2	af854a3a-2127-422b-91ae-364da2661108
16	http://marc.info/?l=oss-security&m=125900267208712&w=2	af854a3a-2127-422b-91ae-364da2661108
17	http://marc.info/?l=oss-security&m=125900271508796&w=2	af854a3a-2127-422b-91ae-364da2661108
18	http://secunia.com/advisories/37443	af854a3a-2127-422b-91ae-364da2661108
19	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html	af854a3a-2127-422b-91ae-364da2661108
20	http://www.mandriva.com/security/advisories?name=MDVSA-2009:306	af854a3a-2127-422b-91ae-364da2661108
21	http://www.osvdb.org/60316	af854a3a-2127-422b-91ae-364da2661108
22	http://www.securityfocus.com/bid/37084	af854a3a-2127-422b-91ae-364da2661108
23	http://www.vupen.com/english/advisories/2009/3306	af854a3a-2127-422b-91ae-364da2661108
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/54363	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-732	重要なリソースに対する不適切なパーミッションの割り当て	https://cwe.mitre.org/data/definitions/732.html