Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions Cyrus IMAP Server antérieures à 2.3.3.

Résumé

Une vulnérabilité a été identifiée dans le module popsubfolders des différentes versions de Cyrus IMAP Server. Un utilisateur malveillant distant peut l'utiliser afin d'exécuter des commandes arbitraires sur la machine hébergeant le serveur Cyrus.

Description

IMAP (pour Internet Message Access Protocol) est un protocole pour accéder aux messages électroniques. Il faut pour cela contacter un serveur IMAP, tel que Cyrus IMAP Server. Une vulnérabilité de type débordement de mémoire a été identifiée dans le module popsubfolders (fichier imap/pop3d.c) de ce dernier. Il ne gère pas correctement les noms d'utilisateurs lors du traitement de la commande USER. Une personne malveillante peut, à distance, utiliser cette vulnérabilité pour lancer des commandes arbitraires sur la machine hébergeant le serveur Cyrus.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation