ShareMailPro 3.x User Enumeration Vulnerability

 Date de Publication: 2003-05-26
 Titre:
ShareMailPro 3.x User Enumeration Vulnerability
 K-Otik ID : 0114
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Une vulnérabilité existe dans
ShareMailPro, et qui permettrait à un attaquant distant de recenser des informations telles que les noms d'utilisateurs valides. ShareMailPro retourne un message d'erreur spécifique, qui permet de savoir si un nom d'utilisateur existe :

Invalid username response:
-ERR sorry , no such mailbox

Valid username response:
+OK check your mailbox



  * Versions Vulnérables *

ShareMailPro 3.x
 

  * Solution *

Aucune solution pour l'instant.

Eviter les logins trop simples.


  * Crédits *
 
Faille découverte par
Ziv Kamir (Mai 2003).