MAILSTORE-SA-2019-01

作者：ycms，发布时间：2020-07-09 11:29:48

MAILSTORE-SA-2019-01：通用LDAP目录服务同步中的身份验证不正确

受影响的产品
  MailStore Server 9.6至11.2.1
  MailStore服务提供商版本9.6至11.2.1

参考资料
   CVE-2019-10229：http：//cve.mitre.org/cgi-bin/cvename.cgi？name = CVE-2019-10229
   CWE-287：https：//cwe.mitre.org/data/definitions/287.html

摘要：
   受影响产品中的LDAP连接器不会在以后重新验证 
   现有用户的登录尝试尝试，作为失败的LDAP连接 
   连接池中存在对远程LDAP服务器的初始登录尝试，并且
   尚未因失败的登录尝试而无效。

影响：
   利用易受攻击的MailStore Server或MailStore Service Provider Edition
   实例，必须将其配置为使用“通用LDAP”对用户进行身份验证 
   作为目录服务。

   如果使用该配置以及MailStore的认证属性
   用户设置为“目录服务”（手动或通过目录服务）
   同步），如果用户名已知，攻击者可能以该用户身份登录 
   通过尝试使用相同的密码在第一次尝试失败后重试登录来实现。 

攻击类型：
   远程

攻击媒介：
   *目录服务配置必须设置为“通用LDAP”
   *必须将用户设置为针对“目录服务”进行身份验证
   *攻击者必须知道现有用户

解：
   更新到版本11.2.2或更高版本

披露时间表：
   2019-02-21收到客户的定期错误报告
   2019-02-22错误报告定义为漏洞报告
   2019-02-26软件更新已发布
   2019-03-27 CVE编号已分配
   2019-05-23公开披露