{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Ipswitch Imail versions 8.13 et ant\u00e9rieures.

","content":"## Description\n\nLe serveur Ipswitch Imail est un serveur de messagerie inclus dans\nIpswitch Collaboration Suite (ICS).\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Ipswitch Imail :\n\n- une vuln\u00e9rabilit\u00e9 affecte le traitement des param\u00e8tres pass\u00e9s \u00e0 la\n commande SELECT du serveur IMAP d'Ipswitch Imail. En envoyant des\n param\u00e8tres de 260 octets environ, il est possible de provoquer un\n arr\u00eat brutal du serveur IMAP (r\u00e9f\u00e9rence CVE CAN-2005-1254) ;\n- une vuln\u00e9rabilit\u00e9 de type \u00ab travers\u00e9e de r\u00e9pertoires \u00bb dans le\n serveur Web Calendaring d'Ipswitch Imail permet d'acc\u00e9der en lecture\n \u00e0 tous les fichiers du syst\u00e8me (r\u00e9f\u00e9rence CVE CAN-2005-1252) ;\n- deux vuln\u00e9rabilit\u00e9s affectent la commande LOGIN du serveur IMAP\n d'Ipswitch Imail. En fournissant un nom d'utilisateur de 2000 octets\n environ ou d\u00e9butant avec un caract\u00e8re sp\u00e9cial, un utilisateur mal\n intentionn\u00e9 peut ex\u00e9cuter du code arbitraire \u00e0 distance (r\u00e9f\u00e9rence\n CVE CAN-2005-1255) ;\n- une vuln\u00e9rabilit\u00e9 affecte la commande STATUS du serveur IMAP\n d'Ipswitch Imail. En fournissant un long nom de bo\u00eete aux lettres en\n param\u00e8tre de la commande STATUS, un utilisateur mal intentionn\u00e9\n pr\u00e9alablement authentifi\u00e9 peut ex\u00e9cuter du code arbitraire \u00e0\n distance (r\u00e9f\u00e9rence CVE CAN-2005-1256) ;\n- une vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le traitement des commandes\n LSUB. Un utilisateur mal intentionn\u00e9 peut r\u00e9aliser un d\u00e9ni de\n service sur le serveur IMAP d'Ipswitch Imail en envoyant une longue\n cha\u00eene de caract\u00e8res NULL \u00e0 la directive LSUB (r\u00e9f\u00e9rence CVE\n CAN-2005-1249).\n\n## Solution\n\nAppliquer le correctif de l'\u00e9diteur (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005 \u00ab Ipswitch IMail STATUS Remote Buffer Overflow Vulnerability \u00bb :","url":"http://www.idefense.com/application/poi/display?id=244&type=vulnerabilities"},{"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005 \u00ab Ipswitch IMail IMAP SELECT Command DoS Vulnerability \u00bb :","url":"http://www.idefense.com/application/poi/display?id=241&type=vulnerabilities"},{"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005 \u00ab Ipswitch IMail IMAP LOGIN Remote Buffer Overflow Vulnerabilities \u00bb :","url":"http://www.idefense.com/application/poi/display?id=243&type=vulnerabilities"},{"title":"Bulletin de s\u00e9curit\u00e9 d'Ipswitch du 23 mai 2005 :","url":"http://www.ipswitch.com/support/imail/releases/imail_professional/im82hf2.html"},{"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005 \u00ab Ipswitch IMail Web Calendaring Arbitrary File Read Vulnerability \u00bb :","url":"http://www.idefense.com/application/poi/display?id=242&type=vulnerabilities"},{"title":"Bulletin de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005 \u00ab Ipswitch IMail IMAP LSUB DoS Vulnerability \u00bb :","url":"http://www.idefense.com/application/poi/display?id=245&type=vulnerabilities"}],"reference":"CERTA-2005-AVI-185","revisions":[{"description":"version initiale.","revision_date":"2005-05-30T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"D\u00e9ni de service"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans Ipswitch Imail permettent\nd'ex\u00e9cuter du code arbitraire \u00e0 distance, de r\u00e9aliser un d\u00e9ni de\nservice, ou de lire n'importe quel fichier sur le serveur.\n","title":"Multiples vuln\u00e9rabilit\u00e9s de Ipswitch Imail","vendor_advisories":[{"published_at":null,"title":"Bulletins de s\u00e9curit\u00e9 iDEFENSE du 24 mai 2005","url":null}]}