Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3091-1 getmail4

Säkerhetsbulletin från Debian

DSA-3091-1 getmail4 -- säkerhetsuppdatering

Rapporterat den:

2014-12-07

Berörda paket:

getmail4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 766670.
I Mitres CVE-förteckning: CVE-2014-7273, CVE-2014-7274, CVE-2014-7275.

Ytterligare information:

Flera sårbarheter har upptäckts i getmail4, en e-posthämtare med stöd för POP3, IMAP4, SDPS, som kunde tillåta man-in-the-middle-angrepp.

• CVE-2014-7273

  Implementationen av IMAP-över-SSL i getmail 4.0.0 till 4.43.0 verifierar inte X.509-certifikat från SSL-servrar, vilket tillåter man-in-the-middle-angripare att förfalska IMAP-servrar och få åtkomst till känslig information via ett skapat certifikat.

• CVE-2014-7274

  Implementationen av IMAP-över-SSL i getmail 4.44.0 verifierar inte att serverns värdnamn stämmer med ett domännamn i subjektets Common Name (CN)-fält i X.509-certifikatet, vilket tillåter man-in-the-middle-angripare att förfalska IMAP-servrar och få åtkomst till känslig information via skapade certifikat från en igenkänd Certification Authority.

• CVE-2014-7275

  Implementationen av POP3-över-SSL i getmail 4.0.0 till 4.44.0 verifierar inte X.509-certifikat från SSL-servrar, vilket tillåter man-in-the-middle-angripare att förfalska POP3-servar och få åtkomst till känslig information via ett skapat certifikat.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4.46.0-1~deb7u1.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 4.46.0-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.46.0-1.

Vi rekommenderar att ni uppgraderar era getmail4-paket.