Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3091-1 getmail4

Debians sikkerhedsbulletin

DSA-3091-1 getmail4 -- sikkerhedsopdatering

Rapporteret den:

7. dec 2014

Berørte pakker:

getmail4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 766670.
I Mitres CVE-ordbog: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.

Yderligere oplysninger:

Flere sårbarheder er opdaget i getmail4, et posthentningsprogram med understøttelse af POP3, IMAP4 og SDPS, som kunne muliggøre manden i midten-angreb.

• CVE-2014-7273

  Implementeringen af IMAP-over-SSL i getmail 4.0.0 til og med 4.43.0, kontroller ikke X.509-certifikater fra SSL-servere, hvilket gjorde det muligt for manden i midten-angribere at forfalske IMAP-servere og få adgang til følsomme oplysninger ved hjælp af et fabrikeret certifikat.

• CVE-2014-7274

  Implementeringen af IMAP-over-SSL i getmail 4.44.0 kontrollerede ikke hvorvidt serverværtsnavnet svarer til et domænenavn i emnets Common Name-felt (CN) i X.509-certifikater, hvilket gjorde det muligt for manden i midten-angribere at forfalske IMAP-servere og få adgang til følsomme oplysninger ved hjælp af et fabrikeret certifikat fra en anerkendt Certification Authority.

• CVE-2014-7275

  Implementeringen af POP3-over-SSL i getmail 4.0.0 til og med 4.44.0 kontrollerer ikke X.509-certifikater fra SSL-servere, hvilket gjorde det muligt for manden i midten-angribere, at forfalske POP3-servere og få adgang til følsomme oplysninger ved hjælp af et fabrikeret certifikat.

I den stabile distribution (wheezy), er disse problemer rettet i version 4.46.0-1~deb7u1.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 4.46.0-1.

I den ustabile distribution (sid), er disse problemer rettet i version 4.46.0-1.

Vi anbefaler at du opgraderer dine getmail4-pakker.