MAILSTORE-SA-2019-01:通用LDAP目录服务同步中的身份验证不正确
受影响的产品
MailStore Server 9.6至11.2.1
MailStore服务提供商版本9.6至11.2.1
参考资料
CVE-2019-10229:http://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2019-10229
CWE-287:https://cwe.mitre.org/data/definitions/287.html
摘要:
受影响产品中的LDAP连接器不会在以后重新验证
现有用户的登录尝试尝试,作为失败的LDAP连接
连接池中存在对远程LDAP服务器的初始登录尝试,并且
尚未因失败的登录尝试而无效。
影响:
利用易受攻击的MailStore Server或MailStore Service Provider Edition
实例,必须将其配置为使用“通用LDAP”对用户进行身份验证
作为目录服务。
如果使用该配置以及MailStore的认证属性
用户设置为“目录服务”(手动或通过目录服务)
同步),如果用户名已知,攻击者可能以该用户身份登录
通过尝试使用相同的密码在第一次尝试失败后重试登录来实现。
攻击类型:
远程
攻击媒介:
*目录服务配置必须设置为“通用LDAP”
*必须将用户设置为针对“目录服务”进行身份验证
*攻击者必须知道现有用户
解:
更新到版本11.2.2或更高版本
披露时间表:
2019-02-21收到客户的定期错误报告
2019-02-22错误报告定义为漏洞报告
2019-02-26软件更新已发布
2019-03-27 CVE编号已分配
2019-05-23公开披露