Информация по безопасности / 2011 / Информация о безопасности -- DSA-2318-1 cyrus-imapd-2.2

Рекомендация Debian по безопасности

DSA-2318-1 cyrus-imapd-2.2 -- многочисленные уязвимости

Дата сообщения:

06.10.2011

Затронутые пакеты:

cyrus-imapd-2.2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-3372, CVE-2011-3208.

Более подробная информация:

В cyrus-imapd, высоко масштабируемой почтовой системе, разработанной для корпоративных окружений, были обнаружены многочисленные проблемы безопасности. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2011-3208

  Сотрудники Coverity обнаружили переполнение буфера в реализации NNTP-сервера (nttpd) в cyrus-imapd. Злоумышленник может использовать эту уязвимость с помощью специально сформированных NNTP-команд для выполнения произвольного кода.

• CVE-2011-3372

  Штефан Корнелиую из Secunia Research обнаружил, что в обработке команд реализации NNTP-сервера (nttpd) в cyrus-imapd неправильно реализованы ограничения доступа для определённых команд, а проверка на завершение и успешность аутентификации не выполняется. Злоумышленник может использовать эту уязвимость для обхода ограничений доступа для некоторых команд. Например, использовать их (CVE-2011-3208) без соответствующей аутентификаии.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.2_2.2.13-14+lenny5.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2_2.2.13-19+squeeze2.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в пакете cyrus-imapd-2.4 версии 2.4.12-1.

Рекомендуется обновить пакеты cyrus-imapd-2.2.