Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Cyrus IMPAd 2.4.x.
Résumé
Cyrus IMAPd présentent des vulnérabilités permettant à un utilisateur malveillant, en particulier, l'exécution de code arbitraire à distance.
Description
Dans Cyrus IMAPd, deux vulnérabilités ont été corrigées :
- un débordement de zone mémoire est possible dans le serveur nntpd et permet à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
- dans certaines configurations, une erreur de gestion des pointeurs permet à un utilisateur malveillant de provoquer l'arrêt inopiné du serveur IMAPd. Cette vulnérabilité est exploitable à distance.
Solution
La version 2.4.11 de Cyrus IMAPd résoud ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de la version 2.4.11 de Cyrus IMAPd du 09 septembre 2011 : http://www.cyrusimap.org/mediawiki/index.php/Latest_Updates
- Référence CVE CVE-2011-3208 https://www.cve.org/CVERecord?id=CVE-2011-3208
- Référence CVE CVE-2011-3481 https://www.cve.org/CVERecord?id=CVE-2011-3481
