Vulnérabilités dans le serveur courriel Dovecot
Date de publication :
Deux vulnérabilités ont été découvertes puis corrigées dans l’application de serveur IMAP et POP3 Dovecot.
CVE-2020-24386[Score CVSS v3 : 6.8] : Cette vulnérabilité est due à une faiblesse dans l’option d’hibernation imap du serveur dovecot. Un attaquant distant et authentifié peut potentiellement accéder à l'arborescence du serveur mail ainsi que consulter les courriels des autres utilisateurs du serveur. L’exploitation de cette vulnérabilité consiste en la manipulation, d’une manière non-spécifiée, des paramètres client de l’option de rafraîchissement des courriels en temps réel (IMAP IDLE).
CVE-2020-25275[Score CVSS v3 : 7.5] : Cette vulnérabilité est due à une validation incorrecte de certaines entrées dans l‘implémentation des protocoles LMTP et IMAP ainsi que dans l’agent de livraison des courriels LDA. Un attaquant distant et authentifié peut être en mesure de provoquer un plantage de l’application en envoyant un courriel avec plus de 10000 contenus d’extensions multifonctions du courrier Internet (contenus MIME).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exposition d’informations sensibles
Criticité
- Score CVSS v3 : 6.8 ; 7.5
Existence d’un code d’exploitation
- Il n’existe pas de code d’exploitation disponible à l’heure actuelle.
Composants vulnérables
- Les versions de Dovecot inférieures à la version 2.3.13 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Dovecot vers la version 2.3.13 ou vers une version ultérieure.
Solution de contournement
- Il est possible de désactiver le mode hibernation pour contourner le problème de sécurité posé par la CVE-2020-24386.
Il suffit de fixer la valeur imap_hibernate_timeout à “0” ou “unset”.