PT-2020-3627 · Qmail+2 · Netqmail+2
Georgi Guninski
·
Publicado
2020-05-24
·
Atualizado
2022-04-28
·
CVE-2020-3812
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
netqmail versão 1.06
Descrição
O problema está relacionado ao módulo qmail-verify no cliente de e-mail netqmail, que carece de proteção para os dados do serviço. Isso pode permitir que um invasor obtenha acesso a dados confidenciais. Um invasor local pode verificar a existência de arquivos e diretórios em qualquer parte do sistema de arquivos, pois o qmail-verify é executado como root e verifica a existência de arquivos no diretório home do invasor, sem primeiro abrir mão de seus privilégios.
Recomendações
Para a versão 1.06 do netqmail, considere restringir os privilégios do módulo qmail-verify para impedir que ele seja executado como root, ou aplique alterações de configuração para limitar seu acesso a arquivos e diretórios confidenciais. Como solução temporária, considere desativar o módulo qmail-verify até que um patch esteja disponível.
Exploit
Correção
Improper Privilege Management
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Netqmail