Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions Cyrus IMAP Server antérieures à 2.3.3.
Résumé
Une vulnérabilité a été identifiée dans le module popsubfolders des différentes versions de Cyrus IMAP Server. Un utilisateur malveillant distant peut l'utiliser afin d'exécuter des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Description
IMAP (pour Internet Message Access Protocol) est un protocole pour accéder aux messages électroniques. Il faut pour cela contacter un serveur IMAP, tel que Cyrus IMAP Server. Une vulnérabilité de type débordement de mémoire a été identifiée dans le module popsubfolders (fichier imap/pop3d.c) de ce dernier. Il ne gère pas correctement les noms d'utilisateurs lors du traitement de la commande USER. Une personne malveillante peut, à distance, utiliser cette vulnérabilité pour lancer des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour sur le site du projet Cyrus IMAP Server : http://asg.web.cmu.edu/cyrus/imapd/