Risques

  • Cross-site scripting
  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Courier MTA versions antérieures à la version 0.45 ;
  • Courier SqWebMail version 4.0.4 et versions antérieures.
  • Courier-IMAP versions antérieures à la version 3.0.0 ;

Résumé

Plusieurs vulnérabilités dans Courier MTA, Courier-IMAP et Courier SqWebMail permettent à un utilisateur mal intentionné de réaliser de l'injection de données, réaliser un déni de service ou exécuter du code arbitraire à distance.

Description

Courier MTA (Mail Transfer Agent) est un serveur de messagerie. Courier-IMAP est un serveur IMAP (Internet Message Access Protocol). Courier SqWebMail est un module de type webmail pour le serveur de messagerie Courier MTA. Plusieurs vulnérabilités ont été identifiées Courier MTA, Courier-IMAP et Courier SqWebMail :

  • Plusieurs débordements de mémoire dans Courier MTA, Courier-IMAP et Courier SqWebMail (CVE CAN-2004-0224) ;
  • une vulnérabilité de type Cross-site Scripting dans la fonction print_header_uc de Courier SqWebMail (CVE CAN-2004-0591) ;

Ces vulnérabilités permettent à un utilisateur mal intentionné de réaliser de l'injection de données, réaliser un déni de service ou exécuter du code arbitraire à distance.

Solution

  • Mettre à jour Courier MTA en version 0.45 ou supérieure ;
  • Mettre à jour Courier-IMAP en version 3.0.0 ou supérieure ;
  • Mettre à jour Courier SqWebMail en version 4.0.5 ou supérieure.
<!-- -->
  • A partir des sources :

    http://www.courier-mta.org/download.php
    
  • Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation