Debian セキュリティ勧告

DLA-106-1 getmail4 -- LTS セキュリティ更新

報告日時:
2014-12-12
影響を受けるパッケージ:
getmail4
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 766670.
Mitre の CVE 辞書: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.
詳細:

POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4 に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。

  • CVE-2014-7273

    getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた X.509 証明書を検証していません。中間の攻撃者が細工した証明書により IMAP サーバを偽装することで機密情報の取得を許します。

  • CVE-2014-7274

    getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名 (CN) のドメイン名に合うことを検証していません。 中間の攻撃者が登録済み認証局からの細工した証明書により IMAP サーバを偽装することで機密情報の取得を許します。

  • CVE-2014-7275

    getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた X.509 証明書を検証していません。中間の攻撃者が細工した証明書により POP3 サーバを偽装することで機密情報の取得を許します。

squeeze ディストリビューションでは、この問題は新しい上流バージョン 4.46.0-1~deb6u1 を取り込むことで修正されています。 パッケージの更新は青木修さんにより行われました。