Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
Toutes les versions de UW-imapd.
Résumé
Une vulnérabilité découverte dans l'application UW-imapd permet à un utilisateur distant mal intentionné de causer un déni de service ou d'exécuter du code arbitraire.
Description
UW-Imap est le serveur de messagerie IMAP (Internet Message Access Protocol) développé par l'université de Washington.
La vulnérabilité de type débordement de pile est causée par une erreur dans la fonction mail_valid_net_parse_work(). Cette vulnérabilité peut être exploitée par une personne malveillante au moyen d'une boîte mél malicieusement nommée.
Solution
La mise à jour de sécurité pour UW-imapd est disponible à l'adresse suivante :
ftp://ftp.cac.washington.edu/imap/
Documentation
- Bulletin de sécurité iDEFENSE #313 du 04 octobre 2005 :
http://www.idefense.com/application/poi/display?id=313&type=vulnerabilities
- Bulletin de sécurité Gentoo GLSA 200510-10 du 11 octobre 2005 :
http://security.gentoo.org/glsa/glsa-200510-10.xml
- Bulletin de sécurité Debian DSA-861 du 11 octobre 2005 :
http://www.debian.org/security/2005/dsa-861
- Bulletin de sécurité RedHat RHSA-2005:850 du 06 décembre 2005 :
http://rhn.redhat.com/errata/RHSA-2005-850.html
- Référence CVE CAN-2005-2933 :
https://www.cve.org/CVERecord?id=CAN-2005-2933
