Dovecot passdbs 参数注入认证绕过
medium Nessus 插件 ID 31466
语言:
简介
远程邮件服务器受到身份验证绕过漏洞的影响。描述
远程主机正在运行 Dovecot,这是一款用于 Linux / Unix 的开源 IMAP4 / POP3 服务器。远程主机上安装的 Dovecot 版本在内部将 TAB 字符用作分隔符,但在密码中出现时无法转义这些字符。如果 Dovecot 配置为使用阻断 passdb,则攻击者可利用此问题绕过身份验证,并获得用户邮箱的访问权限。
解决方案
升级到 Dovecot v1.0.13 / v1.1.rc3 或更高版本。另见
https://www.dovecot.org/list/dovecot-news/2008-March/000064.html
插件详情
严重性: Medium
ID: 31466
文件名: dovecot_auth_bypass.nasl
版本: 1.17
类型: remote
系列: Misc.
发布时间: 2008/3/14
最近更新时间: 2022/4/11
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.6
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
漏洞信息
CPE: cpe:/a:dovecot:dovecot
排除的 KB 项: global_settings/supplied_logins_only
可利用: true
易利用性: Exploits are available
参考资料信息
CVE: CVE-2008-1218
BID: 28181