Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- MailEnable Enterprise Edition 1.71 et versions antérieures ;
- MailEnable Professional 1.1 et versions antérieures.
Résumé
Plusieurs vulnérabilités dans l'application MailEnable permettent à un utilisateur mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire à distance.
Description
MailEnable est un serveur de messagerie.
Ces vulnérabilités sont dues à une erreur dans le traitement des arguments fournis aux commandes IMAP (Internet Message Access Protocol) suivantes : UID FETCH, LIST et LSUB. Un individu mal intentionné peut, au moyen d'arguments malicieusement constitués exécuter du code arbitraire à distance ou provoquer un déni de service.
Solution
Appliquer la mise à jour de sécurité ME-10010 disponible à l'adresse suivante :
http://www.mailenable.com/hotfix/ME-10010.EXE
Documentation
- Information sur le Forum de discussion « Full-Disclosure » http://lists.grok.org.uk/pipermail/full-disclosure/2005-December/040388.html
- Mise à jour de sécurité ME-10010 : http://www.mailenable.com/hotfix/ME-10010.EXE