{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"Cyrus Imap Server version 2.x. Pour le d\u00e9tail des versions affect\u00e9es par les diff\u00e9rentes vuln\u00e9rabilit\u00e9s voir la section Description.","content":"## Description\n\nCyrus Imap Server est un serveur IMAP (Internet Message Access\nProtocol). Quatres vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes sur ce serveur :\n\n- Une vuln\u00e9rabilit\u00e9 dans le traitement des commandes PROXY et LOGIN\n permet \u00e0 un utilisateur mal intentionn\u00e9, via l'utilisation d'un nom\n d'utilisateur malicieusement construit, de r\u00e9aliser un d\u00e9ni de\n service ou d'ex\u00e9cuter du code arbitraire sur le syst\u00e8me o\u00f9 se trouve\n le serveur vuln\u00e9rable. Les versions 2.2.4 \u00e0 2.2.8 sont affect\u00e9es par\n cette vuln\u00e9rabilit\u00e9.\n- Une vuln\u00e9rabilit\u00e9 dans le traitement d'un argument de la commande\n PARTIAL permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9f\u00e9rencer une\n adresse m\u00e9moire externe au tampon. Les versions 2.2.6 et ant\u00e9rieures\n sont affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\n- Une vuln\u00e9rabilit\u00e9 dans le traitement d'un argument de la commande\n FETCH permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9f\u00e9rencer une\n adresse m\u00e9moire externe au tampon. Les versions 2.2.8 et ant\u00e9rieures\n sont affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\n- Une vuln\u00e9rabilit\u00e9 dans la commande APPEND d\u00fbe \u00e0 une erreur de\n programmation permet \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser un\n d\u00e9ni de service ou d'ex\u00e9cuter du code arbitraire \u00e0 distance. Les\n versions 2.2.7 et 2.2.8 sont affect\u00e9es par cette vuln\u00e9rabilit\u00e9.\n\n## Solution\n\nMettre \u00e0 jour le serveur avec la version 2.2.9 ou une version\npost\u00e9rieure.\n\n- Site internet de Cyrus Imap Serveur :\n\n http://ftp.andrew.cmu.edu/pub/cyrus-mail/\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD du 22 novembre 2004 :","url":"http://www.vuxml.org/freebsd/"},{"title":"Bulletin de s\u00e9curit\u00e9 e-matters du 22 novembre 2004 :","url":"http://security.e-matters.de/advisories/152004.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-597 du 25 novembre 2004 :","url":"http://www.debian.org/security/2004/dsa-597"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200411-34 du 25 novembre 2004 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200411-34.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:139 du 25 novembre 2004 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:139"},{"title":"Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SA:2004:043 du 03 d\u00e9cembre 2004 :","url":"http://www.suse.com/de/security/2004_43_cyrus_imapd.html"}],"reference":"CERTA-2004-AVI-379","revisions":[{"description":"version initiale.","revision_date":"2004-11-23T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.","revision_date":"2004-11-25T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Mandrake.","revision_date":"2004-11-26T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SuSE.","revision_date":"2004-12-07T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"D\u00e9ni de service"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans Cyrus Imap Serveur permettent \u00e0\nun utilisateur mal intentionn\u00e9 de r\u00e9aliser un d\u00e9ni de service ou\nd'ex\u00e9cuter du code arbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Cyrus Imap Serveur","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 e-matters","url":null}]}