PT-2022-3492 · Dovecot+10 · Dovecot+10
Julezman
+1
·
Publicado
2022-07-06
·
Atualizado
2024-10-15
·
CVE-2022-30550
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Dovecot 2.2 a 2.3.19
Descrição
Uma falha no componente de autenticação do Dovecot pode levar a uma configuração de segurança indesejada, permitindo a escalada de privilégios em determinadas configurações. Isso ocorre quando existem duas entradas de configuração no passdb com as mesmas configurações de driver e argumentos, fazendo com que configurações incorretas de
username filter e mecanismo sejam aplicadas às definições do passdb. A documentação não desaconselha o uso de definições no passdb com as mesmas configurações de driver e argumentos, o que pode levar a configurações em que um administrador usa a mesma configuração PAM ou arquivo passwd tanto para usuários normais quanto para usuários master, mas tenta restringir quais usuários podem ser usuários master usando a configuração username filter.Recomendações
Para as versões 2.2 a 2.3.19 do Dovecot, atualize para a versão 2.3.20 ou posterior para resolver o problema.
Como solução alternativa temporária, considere revisar e modificar as entradas de configuração do passdb para garantir que nenhuma entrada tenha as mesmas configurações de driver e argumentos, e ajuste as configurações de
username filter e mecanismo de acordo para evitar configurações de segurança indesejadas.Correção
Improper Access Control
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Dovecot
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu