Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2377-1 cyrus-imapd-2.2

Bulletin d'alerte Debian

DSA-2377-1 cyrus-imapd-2.2 -- Déréférencement de pointeur NULL

Date du rapport :

1^er janvier 2012

Paquets concernés :

cyrus-imapd-2.2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3481.

Plus de précisions :

cyrus-imapd, un système de messagerie électronique très évolutif conçu pour être utilisé en environnement professionnel, n'analyse pas correctement les en-têtes de courrier quand un client utilise la fonctionnalité de suivi de fil (threading) d'IMAP. Par conséquent, un pointeur NULL est déréférencé ce qui plante le démon. Un attaquant peut déclencher cela en envoyant un courrier contenant des en-têtes de référence contrefaits et en accédant au courrier avec un client qui utilise la fonctionnalité de suivi de fil (threading) d'IMAP.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.2.13-14+lenny6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.2.13-19+squeeze3.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème a été corrigé dans la version 2.4.11-1 de cyrus-imapd-2.4.

Nous vous recommandons de mettre à jour vos paquets cyrus-imapd-2.2.