Security Lab

Получение доступа к произвольным учетным записям в UW IMAP сервере

Дата публикации:03.02.2005
Всего просмотров:1034
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: University of Washington IMAP server версии до 2004b

Описание:
Уязвимость в UW IMAP сервере позволяет удаленному пользователю получить доступ к учетным записям других пользователей.

Существует логическая ошибка в UW IMAP сервере при использовании механизма аутентификации CRAM-MD5 (Challenge-Response Authentication Mechanism with MD5). Удаленный атакующий может пройти авторизацию и получить доступ к любой почтовой учетной записи на сервере.

URL производителя: http://www.washington.edu/imap/

Решение: Установите обновление
ftp://ftp.cac.washington.edu/mail/imap-2004b.tar.Z

Ссылки: UW IMAP CRAM-MD5 Authentication Flaw Lets Remote Users Access Arbitrary IMAP Accounts