Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque Dovecot est configuré en mode proxy avec TLS/SSL, un
attaquant peut mettre en place un faux serveur de messagerie, qui
n’est pas détecté par Dovecot.

Gravité : 2/4

Date création : 13/12/2011

PRODUITS CONCERNÉS

– Fedora
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur Dovecot permet aux utilisateurs de consulter leur
messagerie via les protocoles IMAP et POP3.

Dovecot peut être configuré en mode proxy :
– l’utilisateur se connecte sur Dovecot
– Dovecot se connecte sur un serveur de messagerie distant

Dans ce cas, la session entre Dovecot et le serveur distant peut
être chiffrée via TLS/SSL.

Cependant, si le serveur distant est indiqué dans la configuration
sous la forme d’un nom de machine (au lieu d’une adresse IP),
Dovecot ne vérifie pas si le nom de machine correspond au Common
Name du certificat X.509 présenté par le serveur. Dovecot ne
détecte alors pas lorsqu’il se connecte sur un serveur illicite.

Lorsque Dovecot est configuré en mode proxy avec TLS/SSL, un
attaquant peut donc mettre en place un faux serveur de messagerie,
qui n’est pas détecté par Dovecot.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Dovecot-non-verification-du-certificat-en-mode-proxy-11210