Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

Cyrus SASL versions 2.1.22 et antérieures.

Résumé

Une vulnérabilité présente dans Cyrus SASL permet à un utilisateur malintentionné distant de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Cyrus SASL (Simple Authentication and Security Layer) est une bibliothèque de fonctions pouvant être utilisée par des applications afin de mettre en œuvre un mécanisme d'authentification pour divers protocoles. Une vulnérabilité de type débordement de mémoire dans une fonction de cette bibliothèque permet à un utilisateur distant de provoquer un déni de service des applications s'appuyant sur Cyrus SASL ou d'exécuter du code arbitraire dans le contexte de ces mêmes applications.

Solution

La version 2.1.23 corrige le problème :

ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.23.tar.gz

Documentation