Vulnérabilité de Cyrus IMAP

Gestion du document

Référence	CERTA-2009-AVI-381
Titre	Vulnérabilité de Cyrus IMAP
Date de la première version	11 septembre 2009
Date de la dernière version	11 septembre 2009
Source(s)	CVE-2009-2632
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
atteinte à la confidentailité des données ;
atteinte à l'intégrité des données.

Systèmes affectés

Serveur Cyrus IMAP, versions 2.2.13 et 2.3.14.

D'autres versions peuvent être affectées.

Résumé

Une vulnérabilité dans le serveur Cyrus IMAP permet à un utilisateur malveillant d'exécuter du code arbitraire, de lire ou de modifier des messages.

Description

Deux erreurs dans la programmation du composant SIEVE de Cyrus IMAP permettent à un utilisateur malveillant de lire ou de modifier tout message et d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site de téléchargement de Cyrus IMAP :
```
http://cyrusimap.web.cmu.edu/
```
Bulletin de sécurité Debian DSA 1881 du 07 septembre 2009 :
```
http://www.debian.org/security/2009/dsa-1881
```
Bulletin VU #336053 de l'US-CERT du 09 septembre 2009 :
```
http://www.kb.cert.org/vuls/id/336053
```

Référence CVE CVE-2009-2632 :

https://www.cve.org/CVERecord?id=CVE-2009-2632

Avis du CERT-FR

Objet: Vulnérabilité de Cyrus IMAP