Vulnerabilidad en el componente IMAPx de GNOME evolution-data-server (CVE-2016-10727)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
20/07/2018
Última modificación:
18/09/2018
Descripción
camel/providers/imapx/camel-imapx-server.c en el componente IMAPx en GNOME evolution-data-server en versiones anteriores a la 3.21.2 continúa con datos en texto claro que contienen una contraseña si el cliente desea emplear STARTTLS, pero el servidor no lo utiliza. Esto facilita que los atacantes remotos obtengan información sensible rastreando la red. El código del servidor debería reportar un error y no continuar, pero el código se escribió erróneamente.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:gnome:evolution:*:*:*:*:*:*:*:* | 3.21.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1334842
- https://github.com/GNOME/evolution-data-server/releases/tag/EVOLUTION_DATA_SERVER_3_21_2
- https://gitlab.gnome.org/GNOME/evolution-data-server/blob/master/NEWS#L1022
- https://gitlab.gnome.org/GNOME/evolution-data-server/commit/f26a6f67
- https://usn.ubuntu.com/3724-1/