CERT-FI haavoittuvuustiedote 084/2004

1.12.2004

Haavoittuvuuksia Cyrus-sähköpostipalvelinohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Cyrus IMAP (Internet Message Access Protocol) on laajasti käytetty sähköpostipalvelinohjelmisto. Cyrus-ohjelmistosta on löydetty useita haavoittuvuuksia.

Kaksi haavoittuvuuksista liittyy IMAPMAGICPLUS" optioon. Näistä toista haavoittuvuutta, pitkän käyttäjätunnuksen aiheuttamaa puskuriylivuotoa tunnistautumisvaiheessa, pidetään erityisen vakavana. Kaksi muuta haavoittuvuutta on "PARTIAL" ja "FETCH" -komentojen argumenttien parsimisessa. Lisäksi ohjelmistosta on löydetty yksi epäonnistuneeseen muistin varaamiseen liittyvä haavoittuvuus.

Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

HAAVOITTUVAT OHJELMISTOT:

• Cyrus IMAP ohjelmiston versiot ennen versiota 2.2.10.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto versioon 2.2.10, mikä on ladattavissa osoitteesta:

ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-imapd-2.2.10.tar.gz

LISÄTIETOA:

http://asg.web.cmu.edu/cyrus/download/imapd/changes.html

http://security.e-matters.de/advisories/152004.html?SID=af629d0826042a0ff151

http://www.openpkg.org/security/OpenPKG-SA-2004.051-imapd.txt

PÄIVITYSHISTORIA:

01.12.2004: Julkaistu

Sivua päivitetty 19.07.2007

Tulostusversio