Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • MailEnable Enterprise Edition 1.71 et versions antérieures ;
  • MailEnable Professional 1.1 et versions antérieures.

Résumé

Plusieurs vulnérabilités dans l'application MailEnable permettent à un utilisateur mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire à distance.

Description

MailEnable est un serveur de messagerie.

Ces vulnérabilités sont dues à une erreur dans le traitement des arguments fournis aux commandes IMAP (Internet Message Access Protocol) suivantes : UID FETCH, LIST et LSUB. Un individu mal intentionné peut, au moyen d'arguments malicieusement constitués exécuter du code arbitraire à distance ou provoquer un déni de service.

Solution

Appliquer la mise à jour de sécurité ME-10010 disponible à l'adresse suivante :

http://www.mailenable.com/hotfix/ME-10010.EXE

Documentation