Vulnerabilidad en Dovecot (CVE-2011-4318)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
07/03/2013
Última modificación:
11/04/2025
Descripción
Dovecot v2.0.x antes de v2.0.16, cuando ssl o starttls está disponible y hostname se usa para definir la destinación del proxy, que no verifica que el servidor hostname busca el nombre del dominio en el sujeto del Common Name (CN) del certificado X.509, que permite ataques man-in-the middle para burlar los servidores SSL a través de un certificado para un hostname diferente.
Impacto
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dovecot:dovecot:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.13:*:*:*:*:*:*:* | ||
| cpe:2.3:a:dovecot:dovecot:2.0.14:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://hg.dovecot.org/dovecot-2.0/rev/5e9eaf63a6b1
- http://rhn.redhat.com/errata/RHSA-2013-0520.html
- http://secunia.com/advisories/46886
- http://secunia.com/advisories/52311
- http://www.dovecot.org/list/dovecot-news/2011-November/000200.html
- http://www.openwall.com/lists/oss-security/2011/11/18/5
- http://www.openwall.com/lists/oss-security/2011/11/18/7
- https://bugs.gentoo.org/show_bug.cgi?id=390887
- https://bugzilla.redhat.com/show_bug.cgi?id=754980
- http://hg.dovecot.org/dovecot-2.0/rev/5e9eaf63a6b1
- http://rhn.redhat.com/errata/RHSA-2013-0520.html
- http://secunia.com/advisories/46886
- http://secunia.com/advisories/52311
- http://www.dovecot.org/list/dovecot-news/2011-November/000200.html
- http://www.openwall.com/lists/oss-security/2011/11/18/5
- http://www.openwall.com/lists/oss-security/2011/11/18/7
- https://bugs.gentoo.org/show_bug.cgi?id=390887
- https://bugzilla.redhat.com/show_bug.cgi?id=754980