Bulletin d'alerte Debian
DLA-2268-2 mutt -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 30 juin 2020
- Paquets concernés :
- mutt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2020-14093, CVE-2020-14954.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en console.
- CVE-2020-14093
Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone d’IMAP à l'aide d'une réponse PREAUTH.
- CVE-2020-14954
Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP, SMTP et POP3. Lorsque le serveur avait envoyé une réponse
begin TLS
, le client lisait des données supplémentaires (par exemple, à partir d’une attaque d’homme du milieu) et les évaluait dans un contexte TLS, c'est-à-dire « response injection ».
Dans Jessie de Debian, le paquet source mutt construit deux variantes de mutt : mutt et mutt-patched.
La précédente version du paquet (1.5.23-3+deb8u2, DLA-2268-1) fournissait des correctifs pour les problèmes cités ci-dessus, mais étaient appliqués uniquement sur la construction du paquet mutt-patched, mais pas sur la construction du paquet mutt (vanilla).
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.5.23-3+deb8u3.Nous vous recommandons de mettre à jour vos paquets mutt.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-14093