Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentailité des données
- Exécution de code arbitraire
Systèmes affectés
Serveur Cyrus IMAP, versions 2.2.13 et 2.3.14.
D'autres versions peuvent être affectées.
Résumé
Une vulnérabilité dans le serveur Cyrus IMAP permet à un utilisateur malveillant d'exécuter du code arbitraire, de lire ou de modifier des messages.
Description
Deux erreurs dans la programmation du composant SIEVE de Cyrus IMAP permettent à un utilisateur malveillant de lire ou de modifier tout message et d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- CVE-2009-2632 https://www.cve.org/CVERecord?id=CVE-2009-2632
- Bulletin VU #336053 de l'US-CERT du 09 septembre 2009 : http://www.kb.cert.org/vuls/id/336053
- Bulletin de sécurité Debian DSA 1881 du 07 septembre 2009 : http://www.debian.org/security/2009/dsa-1881
- Site de téléchargement de Cyrus IMAP : http://cyrusimap.web.cmu.edu/
- Référence CVE CVE-2009-2632 https://www.cve.org/CVERecord?id=CVE-2009-2632
