Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-106-1 getmail4

Рекомендация Debian по безопасности

DLA-106-1 getmail4 -- обновление безопасности LTS

Дата сообщения:

12.12.2014

Затронутые пакеты:

getmail4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 766670.
В каталоге Mitre CVE: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.

Более подробная информация:

В getmail4, программе для получения электронной почты, поддерживающей POP3, IMAP4 и SDPS, было обнаружено несколько уязвимостей, которые позволяют выполнять атаки по принципу человек-в-середине.

• CVE-2014-7273

  Реализация IMAP-через-SSL в getmail с версии 4.0.0 до версии 4.43.0 не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет злоумышленникам подделывать серверы IMAP и получать чувствительную информацию с помощью специально сформированного сертификата.

• CVE-2014-7274

  Реализация IMAP-через-SSL в getmail версии 4.44.0 не выполняет проверку того, что имя узла сервера совпадает с именем домена в поле Common Name (CN) сертификата X.509, что позволяет злоумышленникам подделывать серверы IMAP и получать чувствительную информацию с помощью специально сформированного сертификата от узнаваемого авторитета.

• CVE-2014-7275

  Реализация POP3-через-SSL в getmail с версии 4.0.0 до версии 4.44.0 не выполняет проверку сертификатов X.509 SSL-серверов, что позволяет злоумышленникам подделывать серверы POP3 и получать чувствительную информацию с помощью специально сформированного сертификата.

В выпуске squeeze эти проблемы были исправлены путём импорта новой версии из основной ветки разработки: 4.46.0-1~deb6u1. Обновлённый пакет был подготовлен Осаму Аоки.