Avis du CERT-FR

Objet: Vulnérabilité dans CyrusIMAPd

Gestion du document

Référence	CERTA-2011-AVI-551
Titre	Vulnérabilité dans CyrusIMAPd
Date de la première version	07 octobre 2011
Date de la dernière version	07 octobre 2011
Source(s)	Annonce de la version 2.4.12 de Cyrus IMAPd du 04 octobre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

CyrusIMAPd version 2.4.11 et versions antérieures.

Résumé

Une vulnérabilité dans CyrusIMAPd permet à un utilisateur malveillant de contourner l'authentification.

Description

Un défaut dans le mécanisme d'authentification du serveur NNTP de CyrusIMAPd permet à un utilisateur malveillant non authentifié d'exécuter des commandes réservées aux utilisateurs authentifiés.

Solution

La version 2.4.12 de CyrusIMAPd résoud ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version 2.4.12 de Cyrus IMAPd du 04 octobre 2011 :
```
http://www.cyrusimap.org/mediawiki/index.php/Latest_Updates
```

Référence CVE CVE-2011-3372 :

https://www.cve.org/CVERecord?id=CVE-2011-3372

Gestion détaillée du document

le 07 octobre 2011: version initiale.