Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2258-1 kolab-cyrus-imapd

Debians sikkerhedsbulletin

DSA-2258-1 kolab-cyrus-imapd -- implementeringsfejl

Rapporteret den:

11. jun 2011

Berørte pakker:

kolab-cyrus-imapd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 629350.
I Mitres CVE-ordbog: CVE-2011-1926.

Yderligere oplysninger:

Man opdagede at implementeringen af STARTTLS i Kolab Cyrus IMAP-serveren ikke på korrekt vis begrænsede I/O-buffering, hvilket gjorde det muligt for manden i midten-angribere at indsætte kommandoer i krypterede IMAP-, LMTP-, NNTP- og POP3-sessioner, ved at sende en klartekstkommando, som blev behandlet efter TLS var på plads.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.2.13-5+lenny3.

I den stabile distribution (squeeze), er dette problem rettet i version 2.2.13-9.1.

I distributionen testing (wheezy), er dette problem rettet i version 2.2.13p1-0.1.

I den ustabile distribution (sid), er dette problem rettet i version 2.2.13p1-0.1.

Vi anbefaler at du opgraderer dine kolab-cyrus-imapd-pakker.