Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2258-1 kolab-cyrus-imapd

Säkerhetsbulletin från Debian

DSA-2258-1 kolab-cyrus-imapd -- implementationsfel

Rapporterat den:

2011-06-11

Berörda paket:

kolab-cyrus-imapd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 629350.
I Mitres CVE-förteckning: CVE-2011-1926.

Ytterligare information:

Man har upptäckt att STARTTLS-implementationen i Kolab Cyrus IMAP-servern inte begränsar I/O-buffring ordentligt, vilket tillåter man-in-the-middle-angripare att lägga till kommandon i krypterade IMAP-, LMTP-, NNTP- och POP3-sessioner genom att skicka klartextkommandon som behandlas efter det TLS är på plats.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.2.13-5+lenny3.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.2.13-9.1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.2.13p1-0.1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.2.13p1-0.1.

Vi rekommenderar att ni uppgraderar era kolab-cyrus-imapd-paket.