MAILSTORE-SA-2019-01
更新时间:2020-07-09 11:29:48
MAILSTORE-SA-2019-01:通用LDAP目录服务同步中的身份验证不正确 受影响的产品 MailStore Server 9.6至11.2.1 MailStore服务提供商版本9.6至11.2.1 参考资料 CVE-2019-10229:http://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2019-10229 CWE-287:https://cwe.mitre.org/data/definitions/287.html 摘要: 受影响产品中的LDAP连接器不会在以后重新验证 现有用户的登录尝试尝试,作为失败的LDAP连接 连接池中存在对远程LDAP服务器的初始登录尝试,并且 尚未因失败的登录尝试而无效。 影响: 利用易受攻击的MailStore Server或MailStore Service Provider Edition 实例,必须将其配置为使用“通用LDAP”对用户进行身份验证 作为目录服务。 如果使用该配置以及MailStore的认证属性 用户设置为“目录服务”(手动或通过目录服务) 同步),如果用户名已知,攻击者可能以该用户身份登录 通过尝试使用相同的密码在第一次尝试失败后重试登录来实现。 攻击类型: 远程 攻击媒介: *目录服务配置必须设置为“通用LDAP” *必须将用户设置为针对“目录服务”进行身份验证 *攻击者必须知道现有用户 解: 更新到版本11.2.2或更高版本 披露时间表: 2019-02-21收到客户的定期错误报告 2019-02-22错误报告定义为漏洞报告 2019-02-26软件更新已发布 2019-03-27 CVE编号已分配 2019-05-23公开披露