Érintett rendszerek
Carnegie Mellon UniversityCyrus IMAP Server
Érintett verziók
Carnegie Mellon University Cyrus IMAP Server 2.2.13, 2.3.14
Összefoglaló
Egy sérülékenységet találtak a Cyrus IMAP szerverben, amit kihasználva rosszindulatú felhasználók szolgáltatás megtagadást okozhatnak, vagy akár feltörhetik a sérülékeny rendszert.
Leírás
Egy sérülékenységet találtak a Cyrus IMAP szerverben, amit kihasználva rosszindulatú felhasználók szolgáltatás megtagadást okozhatnak, vagy akár feltörhetik a sérülékeny rendszert.
A sérülékenységet a Sieve scriptek kezelésének hibája okozza az “snprintf()” függvénynek átadott string paraméter méretének kiszámításakor. Ezt kihasználva verem túlcsordulás okozható.
A hiba sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, de felhasználói hozzáférés, valamint Sieve script definiálási jogosultság szükséges.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 36629
Egyéb referencia: www.us.debian.org
Gyártói referencia: lists.andrew.cmu.edu
Gyártói referencia: lists.andrew.cmu.edu
CVE-2009-2632 - NVD CVE-2009-2632