製品・ソフトウェアに関する情報

JVN脆弱性詳細

Dovecot における任意のユーザアカウントにアクセスされる脆弱性

タイトル	Dovecot における任意のユーザアカウントにアクセスされる脆弱性
概要	Dovecot は、インストール時に特定のディレクトリ作成中に0777 パーミッションを設定するため、任意のユーザアカウントにアクセスされる脆弱性が存在します。
想定される影響	ローカルユーザにより、auth ソケットを置換されることで、任意のユーザアカウントにアクセスされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年11月20日0:00
登録日	2012年6月26日16:18
最終更新日	2012年6月26日16:18

CVSS2.0 : 警告
スコア	4.6
ベクター	AV:L/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

Timo Sirainen

Dovecot 1.2.8 未満の 1.2.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3897	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3897
National Vulnerability Database (NVD)
2	CVE-2009-3897	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3897

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
dovecot
1	v1.2.8 released	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-3897

概要	Dovecot 1.2.x before 1.2.8 sets 0777 permissions during creation of certain directories at installation time, which allows local users to access arbitrary user accounts by replacing the auth socket, related to the parent directories of the base_dir directory, and possibly the base_dir directory itself.
概要	Dovecot v1.2.x anterior v1.2.8 establece permisos 0777 durante la creación de ciertos directorios en el momento de la instalación, permitiendo a usuarios locales acceder a las cuentas de usuarios por reemplazamiento del socket auth, relacionados con los directorios padre del directorio base_dir, y probablemente con el propio directorio base_dir
公表日	2009年11月25日2:30
登録日	2021年1月29日13:25
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:dovecot:dovecot::::::::		1.2.0			1.2.8

関連情報、対策とツール

No	URL	refsource
1	http://lists.opensuse.org/opensuse-security-announce/2010-01/msg00007.html	secalert@redhat.com
2	http://marc.info/?l=oss-security&m=125871729029145&w=2	secalert@redhat.com
3	http://marc.info/?l=oss-security&m=125881481222441&w=2	secalert@redhat.com
4	http://marc.info/?l=oss-security&m=125900267208712&w=2	secalert@redhat.com
5	http://marc.info/?l=oss-security&m=125900271508796&w=2	secalert@redhat.com
6	http://secunia.com/advisories/37443	secalert@redhat.com
7	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html	secalert@redhat.com
8	http://www.mandriva.com/security/advisories?name=MDVSA-2009:306	secalert@redhat.com
9	http://www.osvdb.org/60316	secalert@redhat.com
10	http://www.securityfocus.com/bid/37084	secalert@redhat.com
11	http://www.vupen.com/english/advisories/2009/3306	secalert@redhat.com
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/54363	secalert@redhat.com
13	http://lists.opensuse.org/opensuse-security-announce/2010-01/msg00007.html	af854a3a-2127-422b-91ae-364da2661108
14	http://marc.info/?l=oss-security&m=125871729029145&w=2	af854a3a-2127-422b-91ae-364da2661108
15	http://marc.info/?l=oss-security&m=125881481222441&w=2	af854a3a-2127-422b-91ae-364da2661108
16	http://marc.info/?l=oss-security&m=125900267208712&w=2	af854a3a-2127-422b-91ae-364da2661108
17	http://marc.info/?l=oss-security&m=125900271508796&w=2	af854a3a-2127-422b-91ae-364da2661108
18	http://secunia.com/advisories/37443	af854a3a-2127-422b-91ae-364da2661108
19	http://www.dovecot.org/list/dovecot-news/2009-November/000143.html	af854a3a-2127-422b-91ae-364da2661108
20	http://www.mandriva.com/security/advisories?name=MDVSA-2009:306	af854a3a-2127-422b-91ae-364da2661108
21	http://www.osvdb.org/60316	af854a3a-2127-422b-91ae-364da2661108
22	http://www.securityfocus.com/bid/37084	af854a3a-2127-422b-91ae-364da2661108
23	http://www.vupen.com/english/advisories/2009/3306	af854a3a-2127-422b-91ae-364da2661108
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/54363	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-732	重要なリソースに対する不適切なパーミッションの割り当て	https://cwe.mitre.org/data/definitions/732.html