CERTA-2006-AVI-210
Vulnerability from certfr_avis
Une vulnérabilité a été identifiée dans le module popsubfolders des différentes versions de Cyrus IMAP Server. Un utilisateur malveillant distant peut l'utiliser afin d'exécuter des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Description
IMAP (pour Internet Message Access Protocol) est un protocole pour accéder aux messages électroniques. Il faut pour cela contacter un serveur IMAP, tel que Cyrus IMAP Server. Une vulnérabilité de type débordement de mémoire a été identifiée dans le module popsubfolders (fichier imap/pop3d.c) de ce dernier. Il ne gère pas correctement les noms d'utilisateurs lors du traitement de la commande USER. Une personne malveillante peut, à distance, utiliser cette vulnérabilité pour lancer des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Toutes les versions Cyrus IMAP Server antérieures à 2.3.3.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eToutes les versions Cyrus IMAP Server ant\u00e9rieures \u00e0 2.3.3.\u003c/P\u003e",
"content": "## Description\n\nIMAP (pour Internet Message Access Protocol) est un protocole pour\nacc\u00e9der aux messages \u00e9lectroniques. Il faut pour cela contacter un\nserveur IMAP, tel que Cyrus IMAP Server. Une vuln\u00e9rabilit\u00e9 de type\nd\u00e9bordement de m\u00e9moire a \u00e9t\u00e9 identifi\u00e9e dans le module popsubfolders\n(fichier imap/pop3d.c) de ce dernier. Il ne g\u00e8re pas correctement les\nnoms d\u0027utilisateurs lors du traitement de la commande USER. Une personne\nmalveillante peut, \u00e0 distance, utiliser cette vuln\u00e9rabilit\u00e9 pour lancer\ndes commandes arbitraires sur la machine h\u00e9bergeant le serveur Cyrus.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2006-05-23T00:00:00",
"last_revision_date": "2006-05-23T00:00:00",
"links": [
{
"title": "Mise \u00e0 jour sur le site du projet Cyrus IMAP Server :",
"url": "http://asg.web.cmu.edu/cyrus/imapd/"
}
],
"reference": "CERTA-2006-AVI-210",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-05-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans le module popsubfolders des\ndiff\u00e9rentes versions de Cyrus IMAP Server. Un utilisateur malveillant\ndistant peut l\u0027utiliser afin d\u0027ex\u00e9cuter des commandes arbitraires sur la\nmachine h\u00e9bergeant le serveur Cyrus.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Cyrus IMAP Server",
"vendor_advisories": [
{
"published_at": null,
"title": "Mise \u00e0 jour du projet Cyrus IMAP Server",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.