Bulletin d'alerte Debian
DLA-2268-1 mutt -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 30 juin 2020
- Paquets concernés :
- mutt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 962897.
Dans le dictionnaire CVE du Mitre : CVE-2020-14093, CVE-2020-14954. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en console.
- CVE-2020-14093
Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone d’IMAP à l'aide d'une réponse PREAUTH.
- CVE-2020-14954
Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP, SMTP et POP3. Lorsque le serveur avait envoyé une réponse
begin TLS
, le client lisait des données supplémentaires (par exemple, à partir d’une attaque d’homme du milieu) et les évaluait dans un contexte TLS, c'est-à-dire « response injection ».
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.5.23-3+deb8u2.Nous vous recommandons de mettre à jour vos paquets mutt.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2020-14093