Prilikom upotrebe programskog paketa Dovecot uočena je nova sigurnosna ranjivost. Dovecot je poslužitelj elektroničke pošte koji podržava protokole IMAP i POP3. Uočeni propust posljedica je neispravne provjere polja "Common Name" kod SSL certifikata. Napadači ranjivost mogu iskoristiti za pokretanje MITM (eng. Man-in-the-Middle) napada te za lažno predstavljanje (eng. spoofing). Svim se korisnicima preporuča odgovarajuća nadogradnja na novu, ispravljenu inačicu spomenutog programskog paketa.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-11-062
Naslov: Uocen propust programskog paketa Dovecot
Datum: 2011-11-23
OS: Linux/UNIX, Windows
Programski paket: Dovecot
Tip sigurnosnog problema: MITM napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Dovecot uocena je nova sigurnosna ranjivost.

Rijec je o posluzitelju elektronicke poste koji podrzava protokole IMAP i POP3. 

Njegove najznacajnije karakteristike su:

- otvorenog je koda,
- brz je i jednostavan za postavljanje,
- podrzava module za poboljsanje funkcionalnosti, samooptimirajuce indekse te
  mnoge nacine autentikacije ukljucujuci i razne baze podataka,
- prosiriv je, 
- koristi vrlo malo memorije,
- omogucuje dodavanje vlastitih podataka, odredjenih dodataka (eng. plugins) 
  te dodavanje podrske za nove mail spremnike i dr. 

Vise informacija o programskom paketu Dovecot dostupno je na sljedecoj web adresi:

http://www.dovecot.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Napadaci ranjivost mogu iskoristiti za izvodjenje MITM napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 2.0.16.  

-------------------------------------------------------------------------------

[4]  Analiza

Sigurnosni problem uzrokovan je jer aplikacija neispravno provjerava da li se polje "Common Name" unutar unutar SSL posluziteljskog certifikata podudara sa trazenim nazivom posluzitelja. Napadaci to mogu iskoristiti za pokretanje MITM (eng. Man-in-the-Middle) napada.

Uspjesna zloupotreba podrazumijeva konfiguriranu provjeru za certifikate.

Ranjivost je potvrdjena u inacicama prije inacice 2.0.16.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je proizvodjac.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

http://www.dovecot.org/list/dovecot-news/2011-November/000200.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________