Debians sikkerhedsbulletin

DSA-2318-1 cyrus-imapd-2.2 -- flere sårbarheder

Rapporteret den:
6. okt 2011
Berørte pakker:
cyrus-imapd-2.2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-3372, CVE-2011-3208.
Yderligere oplysninger:

Flere sikkerhedsrelaterede problemer blev opdaget i cyrus-imapd, et meget skalerbart mailsystem, designet til brug i større virksomheder. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-3208

    Coverity opdagede et stakbaseret bufferoverløb i NNTP-serverimplementeringen (nttpd) i cyrus-imapd. En angriber kunne udnytte fejlen via flere fabrikerede NNTP-kommandoer, til at udføre vilkårlig kode.

  • CVE-2011-3372

    Stefan Cornelius fra Secunia Research opdagede at kommandobehandlingen i NNTP-serverimplementeringen (nttpd) i cyrus-imapd ikke på korrekt vis implementerede adgangsbegrænsninger til visse komandoer og ikke undersøgte om der var en komplet, succesrig autentifikaiton. En angriber kunne benytte fejlen til at omgå visse kommandoers adgangsbegrænsninger og eksempelvis udnytte CVE-2011-3208 uden korrekt autentifikation.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.2_2.2.13-14+lenny5.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2_2.2.13-19+squeeze2.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i cyrus-imapd-2.4 version 2.4.12-1.

Vi anbefaler at du opgraderer dine cyrus-imapd-2.2-pakker.