LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1700-1 uw-imap

Bulletin d'alerte Debian

DLA-1700-1 uw-imap -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er mars 2019

Paquets concernés :

uw-imap

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 914632.
Dans le dictionnaire CVE du Mitre : CVE-2018-19518.

Plus de précisions :

Une vulnérabilité a été découverte dans uw-imap, la boîte à outils IMAP de l’Université de Washington, qui pourrait permettre à des attaquants distants d’exécuter des commandes arbitraires d’OS si le nom de serveur IMAP est une entrée non approuvée (par exemple, entrée par un utilisateur de l’application web) et si rsh a été remplacé par un programme avec des sémantiques d’argument différentes.

Cette mise à jour désactive l’accès aux boîtes aux lettres IMAP en exécutant imapd au-dessus de rsh, et par conséquent ssh pour les utilisateurs de l’application cliente. Le code qui utilise la bibliothèque peut toujours l’activer avec tcp_parameters() après s’être assuré que le nom du serveur IMAP a été vérifié.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 8:2007f~dfsg-4+deb8u1.

Nous vous recommandons de mettre à jour vos paquets uw-imap.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.