Date de Publication: 2003-05-26
 Titre: ShareMailPro 3.x User Enumeration Vulnerability
 K-Otik ID : 0114
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Une vulnérabilité existe dans ShareMailPro, et qui permettrait à un attaquant distant de recenser des informations telles que les noms d'utilisateurs valides. ShareMailPro retourne un message d'erreur spécifique, qui permet de savoir si un nom d'utilisateur existe :

Invalid username response:
-ERR sorry , no such mailbox

Valid username response:
+OK check your mailbox


  * Versions Vulnérables *

ShareMailPro 3.x
 

  * Solution *

Aucune solution pour l'instant.
Eviter les logins trop simples.


  * Crédits *
 
Faille découverte par Ziv Kamir (Mai 2003).