阿里云漏洞库

漏洞描述

Dovecot是一款开源的基于类Linux/UNIX系统的IMAP和POP3邮件服务器。Dovecot对用户请求数据没有充分的检查过滤，远程攻击者可能利用此漏洞绕过验证获取非授权访问。Dovecot的内部协议使用TAB字符作为分隔符，但未经转义便发送了口令，因此如果口令中包含有TAB字符的话，就可以添加新的内部字段。如果用户在登录时通过这种方式添加了skip_password_check字段的话，就可以绕过口令检查，获得非授权登录。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00004.html
http://secunia.com/advisories/29226
http://secunia.com/advisories/29295
http://secunia.com/advisories/29364
http://secunia.com/advisories/29385
http://secunia.com/advisories/29396
http://secunia.com/advisories/29557
http://secunia.com/advisories/32151
http://security.gentoo.org/glsa/glsa-200803-25.xml
http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0108
http://www.debian.org/security/2008/dsa-1516
http://www.dovecot.org/list/dovecot-news/2008-March/000064.html
http://www.dovecot.org/list/dovecot-news/2008-March/000065.html
http://www.securityfocus.com/archive/1/489481/100/0/threaded
http://www.securityfocus.com/bid/28181
https://exchange.xforce.ibmcloud.com/vulnerabilities/41085
https://issues.rpath.com/browse/RPL-2341
https://usn.ubuntu.com/593-1/
https://www.exploit-db.com/exploits/5257
https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00358.html
https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00381.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	dovecot	dovecot	*		Up to (including) 1.0.12
	运行在以下环境
	应用	dovecot	dovecot	*		Up to (including) 1.1
	运行在以下环境
	系统	debian_10	dovecot	*		Up to (excluding) 1:1.0.13-1
	运行在以下环境
	系统	debian_11	dovecot	*		Up to (excluding) 1:1.0.13-1
	运行在以下环境
	系统	debian_12	dovecot	*		Up to (excluding) 1:1.0.13-1
	运行在以下环境
	系统	debian_4.0	dovecot	*		Up to (excluding) 1.0.rc15-2etch4

攻击路径

本地
攻击复杂度

N/A
权限要求

N/A
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

N/A
数据完整性

传输被破坏
服务器危害

N/A
全网数量

N/A

CWE-ID	漏洞类型

低危 Dovecot IMAP 1.0.10 <1.1rc2-远程电子邮件泄漏漏洞

漏洞描述

解决建议

参考链接

受影响软件情况