Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2242-1 cyrus-imapd-2.2

Debians sikkerhedsbulletin

DSA-2242-1 cyrus-imapd-2.2 -- implementeringsfejl

Rapporteret den:

25. maj 2011

Berørte pakker:

cyrus-imapd-2.2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 627081.
I Mitres CVE-ordbog: CVE-2011-1926.

Yderligere oplysninger:

Man opdagede at implementeringen i STARTTLS i Cyrus IMAP-server ikke på korrekt vis begrænsee I/O-buffering, hvilket gjorde det muligt for manden i midten-angribere at indsætte kommandoer i krypterede IMAP-, LMTP-, NNTP- og POP3-sessioner, ved at sende kommandoer i klartekst, som blev behandlet efter TLS var etableret.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.2.13-14+lenny4.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.13-19+squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 2.2.13p1-11 i cyrus-imapd-2.2 og i version 2.4.7-1 i cyrus-imapd-2.4.

Vi anbefaler at du opgraderer dine cyrus-imapd-2.2-pakker.