Информация по безопасности / 2012 / Информация о безопасности -- DSA-2377-1 cyrus-imapd-2.2

Рекомендация Debian по безопасности

DSA-2377-1 cyrus-imapd-2.2 -- разыменование NULL-указателя

Дата сообщения:

01.01.2012

Затронутые пакеты:

cyrus-imapd-2.2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-3481.

Более подробная информация:

Было обнаружено, что cyrus-imapd, хорошо масштабируемая почтовая система, разработанная для использования в корпоративных окружениях, неправильно выполняет грамматический разбор заголовков сообщений электронной почты в случае, когда клиент используется многопоточность IMAP. В результате происходит разыменование NULL-указателя, что приводит к аварийному завершению работы службы. Злоумышленник может вызвать это путём отправки сообщения, содержащего специально сформированные заголовки, и обращения к этому сообщения при помощи клиента, использующего многопоточность IMAP.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.2.13-14+lenny6.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2.13-19+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в пакете cyrus-imapd-2.4 версии 2.4.11-1.

Рекомендуется обновить пакеты cyrus-imapd-2.2.