Информация по безопасности / 2014 / Информация о безопасности -- DSA-3091-1 getmail4

Рекомендация Debian по безопасности

DSA-3091-1 getmail4 -- обновление безопасности

Дата сообщения:

07.12.2014

Затронутые пакеты:

getmail4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 766670.
В каталоге Mitre CVE: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.

Более подробная информация:

В getmail4, программе для получения электронной почты с поддержкой POP3, IMAP4 и SDPS, были обнаружены несколько уязвимостей, которые позволяют осуществлять атаки по принципу человек-в-середине.

• CVE-2014-7273

  Реализация IMAP-over-SSL в getmail с версии 4.0.0 до версии 4.43.0 не проверяет сертификаты X.509 с серверов SSL, что позволяет осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения чувствительной информации с помощью специально сформированного сертификата.

• CVE-2014-7274

  Реализация IMAP-over-SSL в getmail версии 4.44.0 не проверяет того, совпадает ли имя узла с именем домена в поле Common Name (CN) сертификата X.509, что позволяет осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения чувствительной информации с помощью специально сформированного сертификата от знакомого авторитета.

• CVE-2014-7275

  Реализация POP3-over-SSL в getmail версии с 4.0.0 до версии 4.44.0 не проверяет сертификаты X.509 с серверов SSL, что позволяет осуществлять атаку по принципу человек-в-середине для подделки сервера POP3 и получения чувствительной информации с помощью специально сформированного сертификата.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.46.0-1~deb7u1.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.46.0-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.46.0-1.

Рекомендуется обновить пакеты getmail4.