Bulletin d'alerte Debian

DSA-2318-1 cyrus-imapd-2.2 -- Plusieurs vulnérabilités

Date du rapport :
6 octobre 2011
Paquets concernés :
cyrus-imapd-2.2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-3372, CVE-2011-3208.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans cyrus-imapd, un système de messagerie électronique très évolutif conçu pour être utilisé en environnement professionnel. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-3208

    Coverity a découvert un débordement de mémoire tampon basée sur la pile dans l'implémentation de serveur NNTP (nttpd) de cyrus-imapd. Un attaquant peut exploiter ce défaut à l'aide de plusieurs commandes NNTP contrefaites pour exécuter du code arbitraire.

  • CVE-2011-3372

    Stefan Cornelius de Secunia Research a découvert que le traitement de commande de l'implémentation de serveur NNTP (nttpd) de cyrus-imapd n'implémente pas correctement les restrictions d'accès pour certaines commandes et ne vérifie pas si l'authentification est complète et réussie. Un attaquant peut utiliser ce défaut pour contourner les restrictions d'accès à certaines commandes, et par exemple tirer parti de CVE-2011-3208 sans être authentifié correctement.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.2_2.2.13-14+lenny5.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2_2.2.13-19+squeeze2.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.4.12-1 de cyrus-imapd-2.4.

Nous vous recommandons de mettre à jour vos paquets cyrus-imapd-2.2.