Vigil@nce - Dovecot : gestion incorrecte des ACLs
octobre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Dans certains cas, les ACLs définies par l’administrateur ne sont
pas honorées par Dovecot.
Gravité : 2/4
Date création : 05/10/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Dovecot est un serveur IMAP/POP3. Son plugin ACL
permet de définir des restrictions d’accès.
Lorsqu’un objet possède plusieurs ACLs, elles doivent être
appliquées dans l’ordre de la plus générale à la plus spécifique.
Cependant, elles sont simplement fusionnées. Ainsi, par exemple,
lorsque l’ACL sur la boîte aux lettres d’un utilisateur est plus
restrictive que l’ACL générale, elle n’est pas appliquée.
Dans certains cas, les ACLs définies par l’administrateur ne sont
donc pas honorées par Dovecot.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Dovecot-gestion-incorrecte-des-ACLs-10002