Bulletin d'alerte Debian

DLA-2268-2 mutt -- Mise à jour de sécurité pour LTS

Date du rapport :
30 juin 2020
Paquets concernés :
mutt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-14093, CVE-2020-14954.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en console.

  • CVE-2020-14093

    Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone d’IMAP à l'aide d'une réponse PREAUTH.

  • CVE-2020-14954

    Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP, SMTP et POP3. Lorsque le serveur avait envoyé une réponse begin TLS, le client lisait des données supplémentaires (par exemple, à partir d’une attaque d’homme du milieu) et les évaluait dans un contexte TLS, c'est-à-dire « response injection ».

Dans Jessie de Debian, le paquet source mutt construit deux variantes de mutt : mutt et mutt-patched.

La précédente version du paquet (1.5.23-3+deb8u2, DLA-2268-1) fournissait des correctifs pour les problèmes cités ci-dessus, mais étaient appliqués uniquement sur la construction du paquet mutt-patched, mais pas sur la construction du paquet mutt (vanilla).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.5.23-3+deb8u3.

Nous vous recommandons de mettre à jour vos paquets mutt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.