Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Courier Mail Server 0.x ;
  • Courier-IMAP versions 1.x ;
  • Courier-IMAP versions 2.x.

Résumé

Une vulnérabilité présente dans Courier-IMAP peut être exploitée par un utilisateur mal intentionné pour réaliser un déni de service ou exécuter du code arbitraire.

Description

Courier-IMAP est un serveur de mail IMAP/POP.

Une vulnérabilité de type « chaîne de format » (format string) est présente dans la fonction auth_debug() utilisée pour le débogage du login dans le logiciel Courier-IMAP.

Ce débogage n'est pas activé par défaut.

Contournement provisoire

Désactiver le mode de débogage du login en mettant le paramètre DEBUG_LOGIN=0 dans le fichier de configuration.

Solution

Mettre à jour Courier-IMAP avec la version 3.0.7.

Documentation