Otkriven nedostatak programskog paketa cyrus-imapd

Jedan sigurnosni nedostatak je otkriven u paketu cyrus-imapd, a moguće ga je iskoristiti za MITM napad.

Paket:	cyrus-imapd 2.2.x
Operacijski sustavi:	Debian Linux 4.0 (etch), Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:	3.8
Problem:	pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	pokretanje proizvoljnih naredbi
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-1926
Izvorni ID preporuke:	DSA-2242-1
Izvor:	Debian

Problem:
Nedostatak se javlja u STARTTLS implementaciji koja nema pravilno postavljena ograničenja za punjenje pričuvne memorije.
Posljedica:
Iskorištavanjem nedostataka napadač ima mogućnost izvođenja MITM (eng. man-in-the-middle) napada i umetanja proizvoljnih nekriptiranih naredbi u zaštićenu sjednicu.
Rješenje:
Kako bi se zaštitili, korisnicima se savjetuje korištenje dostupne programske nadogradnje.

Izvorni tekst preporuke

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2242-1                   Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/                        Moritz Muehlenhoff
May 25, 2011                           http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : cyrus-imapd-2.2
Vulnerability  : implementation error
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2011-1926 
Debian Bug     : 627081

It was discovered that the STARTTLS implementation of the Cyrus IMAP 
server does not properly restrict I/O buffering, which allows 
man-in-the-middle attackers to insert commands into encrypted IMAP, 
LMTP, NNTP and POP3 sessions by sending a cleartext command that is 
processed after TLS is in place.

For the oldstable distribution (lenny), this problem has been fixed in
version 2.2.13-14+lenny4.

For the stable distribution (squeeze), this problem has been fixed in
version 2.2.13-19+squeeze1.

For the unstable distribution (sid), this problem has been fixed in
version 2.2.13p1-11 for cyrus-imapd-2.2 and in version 2.4.7-1
for cyrus-imapd-2.4.

We recommend that you upgrade your cyrus-imapd-2.2 packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk3dXksACgkQXm3vHE4uylq4zQCgk7PZdVEi/lL1xzWNqmpeOVnI
PhEAoIpynyDaTR5/TpoYW0/9nPGA8GMN
=I8DZ
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
with a subject of "unsubscribe". Trouble? Contact Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
Archive: http://lists.debian.org/Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Otkriven nedostatak programskog paketa cyrus-imapd

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Otkriven nedostatak programskog paketa cyrus-imapd

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti