Рекомендация Debian по безопасности

DSA-2377-1 cyrus-imapd-2.2 -- разыменование NULL-указателя

Дата сообщения:
01.01.2012
Затронутые пакеты:
cyrus-imapd-2.2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-3481.
Более подробная информация:

Было обнаружено, что cyrus-imapd, хорошо масштабируемая почтовая система, разработанная для использования в корпоративных окружениях, неправильно выполняет грамматический разбор заголовков сообщений электронной почты в случае, когда клиент используется многопоточность IMAP. В результате происходит разыменование NULL-указателя, что приводит к аварийному завершению работы службы. Злоумышленник может вызвать это путём отправки сообщения, содержащего специально сформированные заголовки, и обращения к этому сообщения при помощи клиента, использующего многопоточность IMAP.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.2.13-14+lenny6.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.2.13-19+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в пакете cyrus-imapd-2.4 версии 2.4.11-1.

Рекомендуется обновить пакеты cyrus-imapd-2.2.