Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Cyrus SASL versions 2.1.22 et antérieures.
Résumé
Une vulnérabilité présente dans Cyrus SASL permet à un utilisateur malintentionné distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Cyrus SASL (Simple Authentication and Security Layer) est une bibliothèque de fonctions pouvant être utilisée par des applications afin de mettre en œuvre un mécanisme d'authentification pour divers protocoles. Une vulnérabilité de type débordement de mémoire dans une fonction de cette bibliothèque permet à un utilisateur distant de provoquer un déni de service des applications s'appuyant sur Cyrus SASL ou d'exécuter du code arbitraire dans le contexte de ces mêmes applications.
Solution
La version 2.1.23 corrige le problème :
ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.23.tar.gz
Documentation
- Bulletin du NIST CVE-2009-0688 du 22 février 2009 : http://nvd.nist.gov/nvd.cfm?cvename=CVE-2009-0688
- Note de vulnérabilité de l'US-CERT VU#238019 du 15 mai 2009 : http://www.kb.cert.org/vuls/id/238019
- Référence CVE CVE-2009-0688 https://www.cve.org/CVERecord?id=CVE-2009-0688
