MAILSTORE-SA-2019-01

更新时间:2020-07-09 11:29:48

MAILSTORE-SA-2019-01:通用LDAP目录服务同步中的身份验证不正确

受影响的产品
  MailStore Server 9.6至11.2.1
  MailStore服务提供商版本9.6至11.2.1

参考资料
   CVE-2019-10229:http://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2019-10229
   CWE-287:https://cwe.mitre.org/data/definitions/287.html

摘要:
   受影响产品中的LDAP连接器不会在以后重新验证 
   现有用户的登录尝试尝试,作为失败的LDAP连接 
   连接池中存在对远程LDAP服务器的初始登录尝试,并且
   尚未因失败的登录尝试而无效。

影响:
   利用易受攻击的MailStore Server或MailStore Service Provider Edition
   实例,必须将其配置为使用“通用LDAP”对用户进行身份验证 
   作为目录服务。

   如果使用该配置以及MailStore的认证属性
   用户设置为“目录服务”(手动或通过目录服务)
   同步),如果用户名已知,攻击者可能以该用户身份登录 
   通过尝试使用相同的密码在第一次尝试失败后重试登录来实现。 

攻击类型:
   远程

攻击媒介:
   *目录服务配置必须设置为“通用LDAP”
   *必须将用户设置为针对“目录服务”进行身份验证
   *攻击者必须知道现有用户

解:
   更新到版本11.2.2或更高版本

披露时间表:
   2019-02-21收到客户的定期错误报告
   2019-02-22错误报告定义为漏洞报告
   2019-02-26软件更新已发布
   2019-03-27 CVE编号已分配
   2019-05-23公开披露