FreeBSD: mail/dovecot -- 適切なクライアント証明書を使用して、他のユーザーとしてログインできます（1340fcc1-2953-11e9-bc44-a4badb296695）

medium Nessus プラグイン ID 121604

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Aki Tuomi (Open-Xchange Oy) による報告：

通常、Dovecotは通常のユーザー名とパスワードの組み合わせを使用してimap/pop3/managesieve/submissionクライアントを認証するように構成されています。一部のインストールでは、クライアントは信頼できるSSL証明書を追加提示する必要があります。また、Dovecotの構成により、ユーザー名をユーザー指定の認証ではなく証明書から取得することも可能です。また、SSL証明書のみを信頼し、パスワードを一切使用しないことも可能です。

提供された信頼できるSSL証明書にユーザー名フィールドがない場合、Dovecotは認証に失敗するはずです。ただし、以前のバージョンでは、ユーザー指定の認証フィールド（例: LOGINコマンド）からユーザー名が取得されます。そのため、追加のパスワード認証がない場合、攻撃者はシステム内の他のユーザーとしてログインすることができます。

この問題の影響を受けるのは以下を使用するインストールのみです:

auth_ssl_require_client_cert = yes auth_ssl_username_from_cert = yes

攻撃者は、ssl_cert_username_fieldが含まれていない有効な信頼できる証明書にもアクセスする可能性があります。デフォルトはcommonNameであり、ほぼすべての証明書に存在します。これは、通常はssl_cert_username_fieldが存在せず、攻撃者が同じCAで署名されたWebサーバーの証明書（およびキー）にアクセスできる場合に発生する可能性があります。

「TLS Web Server」や「TLS Web Server Client」などの適切な拡張キーを使用する証明書を持つことにより、攻撃を緩和できます。

また、現在MTA（Postfix、Exim）ではcert_usernameフィールドが送信されないため、外部SMTP AUTHによってssl_cert_username_field設定が無視されていました。これにより、信頼できる証明書を持つユーザーが、認証の際に任意のユーザー名を指定できる可能性があります。これはDovecot Submissionサービスには適用されません。