漏洞信息详情
imapsync SSL/TLS Certificate 信任管理漏洞
- CNNVD编号:CNNVD-201402-245
- 危害等级: 中危
- CVE编号: CVE-2014-2014
- 漏洞类型: 信任管理
- 发布时间: 2014-02-14
- 威胁类型: 远程
- 更新时间: 2014-04-22
- 厂 商: gilles_lamiral
- 漏洞来源: Dennis Schridde
漏洞简介
imapsync是一套用于实现邮件服务器迁移的命令行工具。该工具支持迁移或者备份IMAP邮箱。
imapsync 1.580及之前版本中存在安全漏洞,该漏洞源于当证书验证失败时,以--tls选项运行,导致程序以明文登录。远程攻击者可通过嗅探网络获取证书。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://imapsync.lamiral.info/
参考网址
来源:FEDORA
名称:FEDORA-2014-2505
链接:https://lists.fedoraproject.org/pipermail/package-announce/2014-February/128293.HTML
来源:MLIST
名称:[imapsync_list] 20140122 Re: [imapsync] Upon certificate issues STARTTLS is ignored and the password sent in plaintext (#15)
链接:http://www.linux-france.org/prj/imapsync_list/msg01910.HTML
来源:MLIST
名称:[imapsync_list] 20140120 Re: [imapsync] STARTTLS support (#15)
链接:http://www.linux-france.org/prj/imapsync_list/msg01907.HTML
来源:MLIST
名称:[oss-security] 20140218 Re: CVE request: "imapsync ignores the --tls switch and sends my authentication plaintext."
链接:http://seclists.org/oss-sec/2014/q1/378
来源:bugs.mageia.org
链接:https://bugs.mageia.org/show_bug.cgi?id=12770
来源:MLIST
名称:[oss-security] 20140217 CVE request: "imapsync ignores the --tls switch and sends my authentication plaintext."
链接:http://seclists.org/oss-sec/2014/q1/367
来源:MANDRIVA
名称:MDVSA-2014:060
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2014:060
来源:github.com
链接:https://github.com/imapsync/imapsync/issues/15
来源: BID
名称: 65582
链接:http://www.securityfocus.com/bid/65582
受影响实体
- Gilles_lamiral Imapsync:1.508
- Gilles_lamiral Imapsync:1.504
- Gilles_lamiral Imapsync:1.500
- Gilles_lamiral Imapsync:1.564
- Gilles_lamiral Imapsync:1.547
补丁
- imapsync-imapsync-1.584
- imapsync-imapsync-1.584
评论