セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3091-1 getmail4

Debian セキュリティ勧告

DSA-3091-1 getmail4 -- セキュリティ更新

報告日時:

2014-12-07

影響を受けるパッケージ:

getmail4

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 766670.
Mitre の CVE 辞書: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.

詳細:

POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4 に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。

• CVE-2014-7273

  getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた X.509 証明書を検証していません。中間の攻撃者が細工した証明書により IMAP サーバを偽装することで機密情報の取得を許します。

• CVE-2014-7274

  getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名 (CN) のドメイン名に合うことを検証していません。 中間の攻撃者が登録済み認証局からの細工した証明書により IMAP サーバを偽装することで機密情報の取得を許します。

• CVE-2014-7275

  getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた X.509 証明書を検証していません。中間の攻撃者が細工した証明書により POP3 サーバを偽装することで機密情報の取得を許します。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 4.46.0-1~deb7u1 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 4.46.0-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.46.0-1 で修正されています。

直ちに getmail4 パッケージをアップグレードすることを勧めます。