Risques
- Atteinte à la confidentialité des données
- Contournement de l'authentification
Systèmes affectés
UW-Imap versions antérieures à la version imap-2004b.
Résumé
Une vulnérabilité présente dans UW-Imap permet à un utilisateur mal intentionné d'accéder à la boîte aux lettres d'un utilisateur sans être authentifié.
Description
UW-Imap est le serveur de messagerie IMAP (Internet Message Access Protocol) créé par l'université de Washington.
Une vulnérabilité est présente dans le mécanisme d'authentification
CRAM-MD5
(Challenge-Response Authentication Mechanism with MD5). Cette
vulnérabilité permet à un utilisateur mal intentionné d'accéder à la
boîte aux lettres d'un utilisateur sans être authentifié.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. Documentation).
La version imap-2004b est disponible à l'adresse ci-dessous :
ftp://ftp.cac.washington.edu/mail/imap.tar.Z
Documentation
- Bulletin de sécurité FreeBSD "imap-uw - authentification bypass when CRAM-MD5 is enabled" du 03 juin 2005 : http://www.vuxml.org/freebsd
- Bulletin de sécurité Gentoo GLSA 200502-02 du 02 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-02.xml
- Bulletin de sécurité Mandrake MDKSA-2005:026 du 01 février 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:026
- Bulletin de sécurité Red Hat RHSA-2005:128 du 23 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-128.html
- Bulletin de sécurité VU#702777 de l'US-CERT du 27 janvier 2005 : http://www.kb.cert.org/vuls/id/702777
- Bulletin de sécurité de SUSE du 01 mars 2005 : http://www.novell.com/linux/security/advisories/2005_12_imap.html
- Mise à jour de sécurité du paquetage NetBSD imap-uw : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/imap-uw/README.html
- Site Internet du serveur UW-Imap : http://www.washington.edu/imap/
