Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Ipswitch iMail Server 2006, pour les versions antérieures à 2006.21.
Résumé
Plusieurs vulnérabilités ont été identifiées dans le serveur de messagerie Ipswitch iMail Server 2006. L'exploitation de ces dernières permettrait à une personne malveillante d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités de type « débordement de tampon » ont été identifiées dans le serveur de messagerie Ipswitch iMail Server 2006. Elles concernent le démon IMAP qui est utilisé pour accéder aux courriels, et impliqueraient notamment les commandes IMAP Search et Search charset.
L'exploitation de ces dernières permettrait à une personne malveillante d'exécuter du code arbitraire à distance avec les droits de l'administrateur. Il faut néanmoins qu'elle se soit authentifiée correctement au préalable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité iDefense du 18 juillet 2007 : http://labs.idefense.com/intelligence/vulnerabilities/display?id=563
- Notes de changement de version concernant Ipswitch iMail Server : http://docs.ipswitch.com/IMail%202006.21/ReleaseNotes/IMail_RelNotes.htm#NewRelease
- Page officielle du produit Ipswitch iMail Server : http://ipswitch.com/products/imail/index.asp