漏洞信息详情

imapsync SSL/TLS Certificate 信任管理漏洞

• CNNVD编号：CNNVD-201402-245
• 危害等级： 中危
  
• CVE编号： CVE-2014-2014
• 漏洞类型： 信任管理
• 发布时间： 2014-02-14
• 威胁类型： 远程
• 更新时间： 2014-04-22
• 厂        商： gilles_lamiral
• 漏洞来源： Dennis Schridde

漏洞简介

imapsync是一套用于实现邮件服务器迁移的命令行工具。该工具支持迁移或者备份IMAP邮箱。

imapsync 1.580及之前版本中存在安全漏洞，该漏洞源于当证书验证失败时，以--tls选项运行，导致程序以明文登录。远程攻击者可通过嗅探网络获取证书。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://imapsync.lamiral.info/

参考网址

来源:FEDORA

名称:FEDORA-2014-2505

链接:https://lists.fedoraproject.org/pipermail/package-announce/2014-February/128293.HTML

来源:MLIST

名称:[imapsync_list] 20140122 Re: [imapsync] Upon certificate issues STARTTLS is ignored and the password sent in plaintext (#15)

链接:http://www.linux-france.org/prj/imapsync_list/msg01910.HTML

来源:MLIST

名称:[imapsync_list] 20140120 Re: [imapsync] STARTTLS support (#15)

链接:http://www.linux-france.org/prj/imapsync_list/msg01907.HTML

来源:MLIST

名称:[oss-security] 20140218 Re: CVE request: "imapsync ignores the --tls switch and sends my authentication plaintext."

链接:http://seclists.org/oss-sec/2014/q1/378

来源:bugs.mageia.org

链接:https://bugs.mageia.org/show_bug.cgi?id=12770

来源:MLIST

名称:[oss-security] 20140217 CVE request: "imapsync ignores the --tls switch and sends my authentication plaintext."

链接:http://seclists.org/oss-sec/2014/q1/367

来源:MANDRIVA

名称:MDVSA-2014:060

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2014:060

来源:github.com

链接:https://github.com/imapsync/imapsync/issues/15

来源: BID

名称: 65582

链接:http://www.securityfocus.com/bid/65582

受影响实体

• Gilles_lamiral Imapsync:1.508  
• Gilles_lamiral Imapsync:1.504  
• Gilles_lamiral Imapsync:1.500  
• Gilles_lamiral Imapsync:1.564  
• Gilles_lamiral Imapsync:1.547  

补丁

• imapsync-imapsync-1.584
• imapsync-imapsync-1.584