Säkerhetsbulletin från Debian

DSA-2318-1 cyrus-imapd-2.2 -- flera sårbarheter

Rapporterat den:
2011-10-06
Berörda paket:
cyrus-imapd-2.2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-3372, CVE-2011-3208.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i cyrus-imapd, en högst skalbart e-postsystem designat för användning i företagsmiljöer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2011-3208

    Coverity upptäckte ett stack-baserat buffertspill i NTTP-serverimplementationen (nttpd) i cyrus-imapd. En angripare kan exploatera denna brist via flera skapade NNTP-kommandon för att köra godtycklig kod.

  • CVE-2011-3372

    Stefan Cornelius från Secunia Research upptäckte att kommandobehandlingen i NNTP-serverimplementationen (nttpd) i cyrus-imapd inte implementerar åtkomstrestriktioner ordentligt för vissa kommandon och kontrollerar inte för en komplett, framgångsrik autentisering. En angripare kan utnyttja denna brist för att förbigå åtkomstrestriktioner för vissa kommandon och tex exploatera CVE-2011-3208 utan ordentlig auktorisering.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.2_2.2.13-14+lenny5.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.2_2.2.13-19+squeeze2.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila utgåvan (Sid) har detta problem rättats i cyrus-imapd-2.4 version 2.4.12-1.

Vi rekommenderar att ni uppgraderar era cyrus-imapd-2.2-paket.