Уязвимость CVE-2020-24386: Информация
Описание
An issue was discovered in Dovecot before 2.3.13. By using IMAP IDLE, an authenticated attacker can trigger unhibernation via attacker-controlled parameters, leading to access to other users' email messages (and path disclosure).
Важность: MEDIUM (6,8) Вектор: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Опубликовано: 4 января 2021 г.
Изменено: 7 ноября 2023 г.
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
---|---|---|---|---|---|---|
dovecot | sisyphus | 2.3.13-alt1 | 2.3.21-alt1 | ALT-PU-2021-1027-1 | 264565 | Исправлено |
dovecot | p10 | 2.3.13-alt1 | 2.3.21-alt1 | ALT-PU-2021-1027-1 | 264565 | Исправлено |
dovecot | p9 | 2.3.13-alt1 | 2.3.16-alt1 | ALT-PU-2021-1055-1 | 264566 | Исправлено |
dovecot | c10f1 | 2.3.13-alt1 | 2.3.19.1-alt2 | ALT-PU-2021-1027-1 | 264565 | Исправлено |
dovecot | c9f2 | 2.3.13-alt1 | 2.3.19.1-alt2 | ALT-PU-2021-1205-1 | 264626 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
---|---|
https://dovecot.org/security |
|
https://dovecot.org/pipermail/dovecot-news/2021-January/000450.html |
|
http://www.openwall.com/lists/oss-security/2021/01/04/4 |
|
https://doc.dovecot.org/configuration_manual/hibernation/ |
|
DSA-4825 |
|
20210106 CVE-2020-24386: IMAP hibernation allows accessing other peoples mail |
|
http://packetstormsecurity.com/files/160842/Dovecot-2.3.11.3-Access-Bypass.html |
|
GLSA-202101-01 |
|
FEDORA-2021-c90cb486f7 |