製品・ソフトウェアに関する情報

JVN脆弱性詳細

Dovecot におけるアクセス制限を回避される脆弱性

Title	Dovecot におけるアクセス制限を回避される脆弱性
Summary	Dovecot は、非公開用の名前空間内の各メールボックス所有者に対して、admin パーミッションを付与するため、アクセス制限を回避される脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、メールボックスの ACL 変更を介して、アクセス制限を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 2, 2010, midnight
Registration Date	July 4, 2011, 8:36 a.m.
Last Update	July 4, 2011, 8:36 a.m.

Affected System

ターボリナックス

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

Timo Sirainen

Dovecot 1.2.15 未満

Dovecot 2.0.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3779	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3779
National Vulnerability Database (NVD)
2	CVE-2010-3779	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3779

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
dovecot
1	ACL handling bugs in v1.2.8+ and v2.0	http://www.dovecot.org/list/dovecot/2010-October/053452.html
2	v1.2.15 released	http://www.dovecot.org/list/dovecot/2010-October/053450.html
3	v2.0.5 released	http://www.dovecot.org/list/dovecot/2010-October/053451.html
Turbolinux Security Advisory
4	TLSA-2011-18	http://www.turbolinux.co.jp/security/2011/TLSA-2011-18j.txt

その他

No	Name	URL
SecurityFocus
1	43690	http://www.securityfocus.com/bid/43690

Change Log

No	Changed Details	Date of change
0	[2011年07月04日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2010-3779

Summary	Dovecot 1.2.x before 1.2.15 and 2.0.x before 2.0.beta2 grants the admin permission to the owner of each mailbox in a non-public namespace, which might allow remote authenticated users to bypass intended access restrictions by changing the ACL of a mailbox, as demonstrated by a symlinked shared mailbox.
Publication Date	Oct. 7, 2010, 6 a.m.
Registration Date	Jan. 29, 2021, 11:07 a.m.
Last Update	Nov. 21, 2024, 10:19 a.m.

Affected software configurations

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:dovecot:dovecot:2.0:beta1::::::

Related information, measures and tools

No	URL	タグ
1	http://secunia.com/advisories/43220
2	http://secunia.com/advisories/43220
3	http://www.dovecot.org/list/dovecot/2010-October/053450.html	Vendor Advisory
4	http://www.dovecot.org/list/dovecot/2010-October/053450.html	Vendor Advisory
5	http://www.dovecot.org/list/dovecot/2010-October/053452.html
6	http://www.dovecot.org/list/dovecot/2010-October/053452.html
7	http://www.mandriva.com/security/advisories?name=MDVSA-2010:217
8	http://www.mandriva.com/security/advisories?name=MDVSA-2010:217
9	http://www.ubuntu.com/usn/USN-1059-1
10	http://www.ubuntu.com/usn/USN-1059-1
11	http://www.vupen.com/english/advisories/2010/2840
12	http://www.vupen.com/english/advisories/2010/2840
13	http://www.vupen.com/english/advisories/2011/0301
14	http://www.vupen.com/english/advisories/2011/0301

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html