| Title | Dovecot の plugins/acl/acl-backend-vfile.c におけるアクセス制限を回避される脆弱性 |
|---|---|
| Summary | Dovecot の plugins/acl/acl-backend-vfile.c は、他の ACL エントリによって認可されたパーミッションに関する処理に不備があるため、アクセス制限を回避される脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、メールボックスの読み込みまたは編集を介して、アクセス制限を回避される回避される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Oct. 2, 2010, midnight |
| Registration Date | May 31, 2011, 11:43 a.m. |
| Last Update | June 23, 2011, 11:15 a.m. |
| CVSS2.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:P/A:N |
| レッドハット |
| Red Hat Enterprise Linux Server 6 |
| Red Hat Enterprise Linux Workstation 6 |
| ターボリナックス |
| Turbolinux Appliance Server 3.0 |
| Turbolinux Appliance Server 3.0 (x64) |
| Turbolinux Server 11 |
| Turbolinux Server 11 (x64) |
| Timo Sirainen |
| Dovecot 1.2.15 未満 |
| Dovecot 2.0.5 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年05月31日] 掲載 [2011年06月23日] 影響を受けるシステム:ターボリナックス (TLSA-2011-18) の情報を追加 ベンダ情報:ターボリナックス (TLSA-2011-18) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | plugins/acl/acl-backend-vfile.c in Dovecot 1.2.x before 1.2.15 and 2.0.x before 2.0.5 interprets an ACL entry as a directive to add to the permissions granted by another ACL entry, instead of a directive to replace the permissions granted by another ACL entry, in certain circumstances involving more specific entries that occur after less specific entries, which allows remote authenticated users to bypass intended access restrictions via a request to read or modify a mailbox. |
|---|---|
| Publication Date | Oct. 7, 2010, 2 a.m. |
| Registration Date | Jan. 29, 2021, 11:06 a.m. |
| Last Update | Nov. 21, 2024, 10:19 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:dovecot:dovecot:1.2.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.11:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.13:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.14:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:1.2.12:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:dovecot:dovecot:2.0.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:2.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:2.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:2.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:dovecot:dovecot:2.0.0:*:*:*:*:*:*:* | |||||