漏洞标题
N/A
漏洞描述信息
在Dovecot 2.0.x版本之前,当启用SSL或STARTTLS时,使用主机名定义代理目标时,它不验证服务器主机名与X.509证书主题的通用名(CN)中的域名匹配。这允许中间人攻击者通过为不同的主机名 valid 证书来伪造SSL服务器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Dovecot 2.0.x before 2.0.16, when ssl or starttls is enabled and hostname is used to define the proxy destination, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a valid certificate for a different hostname.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ubuntu dovecot 安全漏洞
漏洞描述信息
Dovecot是一款开源的基于类Linux/UNIX系统的IMAP和POP3邮件服务器。 Dovecot 2.0.16之前的2.0.x版本中存在漏洞,该漏洞源于ssl或starttls启用和使用主机名定义代理目标时,程序没有验证在X.509证书主题的Common Name (CN)中的服务器主机名和域名的匹配,中间人攻击者利用该漏洞欺骗SSL服务器。
CVSS信息
N/A
漏洞类别
授权问题