Vulnérabilité dans CyrusIMAPd

Gestion du document

Référence	CERTA-2011-AVI-551
Titre	Vulnérabilité dans CyrusIMAPd
Date de la première version	07 octobre 2011
Date de la dernière version	07 octobre 2011
Source(s)	Annonce de la version 2.4.12 de Cyrus IMAPd du 04 octobre 2011

Risque

Contournement de la politique de sécurité

Systèmes affectés

CyrusIMAPd version 2.4.11 et versions antérieures.

Résumé

Une vulnérabilité dans CyrusIMAPd permet à un utilisateur malveillant de contourner l'authentification.

Description

Un défaut dans le mécanisme d'authentification du serveur NNTP de CyrusIMAPd permet à un utilisateur malveillant non authentifié d'exécuter des commandes réservées aux utilisateurs authentifiés.

Solution

La version 2.4.12 de CyrusIMAPd résoud ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version 2.4.12 de Cyrus IMAPd du 04 octobre 2011 :

http://www.cyrusimap.org/mediawiki/index.php/Latest_Updates

Référence CVE CVE-2011-3372

https://www.cve.org/CVERecord?id=CVE-2011-3372

Avis du CERT-FR

Objet: Vulnérabilité dans CyrusIMAPd