News
Vigil@nce - Dovecot : modification d’ACLs par défaut
septembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque l’utilisateur définit des ACLs sur son INBOX, elles
deviennent les ACLs par défaut des sous-répertoires de Maildir.
Gravité : 1/4
Date création : 17/09/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Dovecot est un serveur IMAP/POP3. Son plugin ACL
permet de définir des restrictions d’accès. Les ACLs d’un
répertoire sont appliquées par défaut à tous les sous-répertoires
créés.
Par défaut, le dossier virtuel "INBOX" (messages reçus) est le
répertoire "Maildir" (racine du stockage). Lorsque l’utilisateur
définit des ACLs pour le dossier "INBOX", elles deviennent donc
les ACLs par défaut de tous les sous-répertoires créés dans
Maildir.
Lorsque l’utilisateur définit des ACLs sur son INBOX, elles
deviennent donc les ACLs par défaut des sous-répertoires de
Maildir. Selon les ACLs définies, ce comportement peut permettre à
un attaquant d’accéder aux dossiers sous Maildir.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Dovecot-modification-d-ACLs-par-defaut-9949
