Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2377-1 cyrus-imapd-2.2

Debians sikkerhedsbulletin

DSA-2377-1 cyrus-imapd-2.2 -- NULL-pointerdereference

Rapporteret den:

1. jan 2012

Berørte pakker:

cyrus-imapd-2.2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-3481.

Yderligere oplysninger:

Man opdagede at cyrus-imapd, et meget skarlerbart mailsystem beregnet til brug i store virksomheder, ikke på korrekt vis fortolkede mailheadere når en klient anvendte IMAP-threading-funktionaliteten. Som følge heraf blev en NULL-pointer derefereret, hvilket fik dæmonen til at gå ned. En angriber kunne udløse det ved at sende en mail indeholdende fabrikerede referenceheadere og tilgå mailen med en klient, som anvender IMAP's serverthreadingfunktionalitet.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.2.13-14+lenny6.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.13-19+squeeze3.

I distributionerne testing (wheezy) og unstable (sid), er dette problem rettet i cyrus-imapd-2.4 version 2.4.11-1.

Vi anbefaler at du opgraderer dine cyrus-imapd-2.2-pakker.