CERTA-2006-AVI-210
Vulnerability from certfr_avis - Published: 2006-05-23 - Updated: 2006-05-23
Une vulnérabilité a été identifiée dans le module popsubfolders des différentes versions de Cyrus IMAP Server. Un utilisateur malveillant distant peut l'utiliser afin d'exécuter des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Description
IMAP (pour Internet Message Access Protocol) est un protocole pour accéder aux messages électroniques. Il faut pour cela contacter un serveur IMAP, tel que Cyrus IMAP Server. Une vulnérabilité de type débordement de mémoire a été identifiée dans le module popsubfolders (fichier imap/pop3d.c) de ce dernier. Il ne gère pas correctement les noms d'utilisateurs lors du traitement de la commande USER. Une personne malveillante peut, à distance, utiliser cette vulnérabilité pour lancer des commandes arbitraires sur la machine hébergeant le serveur Cyrus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Toutes les versions Cyrus IMAP Server antérieures à 2.3.3.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eToutes les versions Cyrus IMAP Server ant\u00e9rieures \u00e0 2.3.3.\u003c/P\u003e",
"content": "## Description\n\nIMAP (pour Internet Message Access Protocol) est un protocole pour\nacc\u00e9der aux messages \u00e9lectroniques. Il faut pour cela contacter un\nserveur IMAP, tel que Cyrus IMAP Server. Une vuln\u00e9rabilit\u00e9 de type\nd\u00e9bordement de m\u00e9moire a \u00e9t\u00e9 identifi\u00e9e dans le module popsubfolders\n(fichier imap/pop3d.c) de ce dernier. Il ne g\u00e8re pas correctement les\nnoms d\u0027utilisateurs lors du traitement de la commande USER. Une personne\nmalveillante peut, \u00e0 distance, utiliser cette vuln\u00e9rabilit\u00e9 pour lancer\ndes commandes arbitraires sur la machine h\u00e9bergeant le serveur Cyrus.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2006-05-23T00:00:00",
"last_revision_date": "2006-05-23T00:00:00",
"links": [
{
"title": "Mise \u00e0 jour sur le site du projet Cyrus IMAP Server :",
"url": "http://asg.web.cmu.edu/cyrus/imapd/"
}
],
"reference": "CERTA-2006-AVI-210",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-05-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans le module popsubfolders des\ndiff\u00e9rentes versions de Cyrus IMAP Server. Un utilisateur malveillant\ndistant peut l\u0027utiliser afin d\u0027ex\u00e9cuter des commandes arbitraires sur la\nmachine h\u00e9bergeant le serveur Cyrus.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Cyrus IMAP Server",
"vendor_advisories": [
{
"published_at": null,
"title": "Mise \u00e0 jour du projet Cyrus IMAP Server",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.