[SuSE] Schwachstellen im Cyrus IMAP-Server - SUSE-SA:2004:043

Aufmacher News

[SuSE] Schwachstellen im Cyrus IMAP-Server - SUSE-SA:2004:043

DFN-Cert
03.12.2004

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes SuSE Security Announcement. Wir geben
diese Informationen unveraendert an Sie weiter.

CAN-2004-1011 - Buffer Overflow in IMAPMAGICPLUS Pre-Authentification

   Ist die Option IMAPMAGICPLUS aktiviert, lassen sich in den PROXY und
   LOGIN Kommandos Buffer Overflows ausloesen, und zwar bevor der
   Benutzer authentifiziert wird. Angreifer koennen diese Schwachstelle
   ueber das Netz durch Angabe eines ueberlangen Benutzernamens ausloesen
   um beliebigen Code mit den Rechten des IMAP-Servers (i.d.R. ein
   eigener Benutzer mit Zugriff auf alle Mailboxen) auf dem betroffenen
   System auszufuehren.

CAN-2004-1012 - Fehler beim Parsen von Argumenten des PARTIAL Kommandos

   Im Parser fuer die Argumente des PARTIAL IMAP-Kommandos befindet sich
   ein Fehler. Dieser fuehrt dazu, dass ueber die Grenze des angelegten
   Speicherbereichs fuer die Argumente hinaus Daten geschrieben werden
   koennen. Zusammen mit einem anderen Fehler (CAN-2004-1011) koennen
   Angreifer ueber das Netz ein Byte der malloc-Kontrolldatenstrukturen
   ueberschreiben und so beliebigen Code mit den Privilegien des
   IMAP-Servers (i.d.R. ein eigener Benutzer mit Zugriff auf alle
   Mailboxen) ausfuehren. Zusaetzlich muss der Angreifer jedoch das Layout
   des Heaps kontrollieren koennen.

CAN-2004-1013 - Fehler beim Parsen von Argumenten des FETCH Kommandos

   Im Parser fuer die Argumente des FETCH IMAP-Kommandos befindet sich ein
   Fehler. Dieser fuehrt dazu, dass ueber die Grenze des angelegten
   Speicherbereichs fuer die Argumente hinaus Daten geschrieben werden
   koennen. Zusammen mit einem anderen Fehler (CAN-2004-1011) koennen
   Angreifer ueber das Netz ein Byte der malloc-Kontrolldatenstrukturen
   ueberschreiben und so beliebigen Code mit den Privilegien des
   IMAP-Servers (i.d.R. ein eigener Benutzer mit Zugriff auf alle
   Mailboxen) ausfuehren. Zusaetzlich muss der Angreifer jedoch das Layout
   des Heaps kontrollieren koennen.

Betroffen ist cyrus-imapd auf den folgenden Plattformen:

   SuSE Linux 8.1, 8.2, 9.0, 9.1 und 9.2
   SuSE Linux Enterprise Server 8 und 9
   SuSE-Linux-Standard-Server 8
   SuSE Linux Openexchange Server 4

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
    Andreas Bunten, DFN-CERT

- -- 
Andreas Bunten (CSIRT), DFN-CERT Services GmbH
https://www.dfn-cert.de/, +49 40 808077-617

Ähnliche Artikel

  • Nachrichtenzentrale
    Ein lokaler IMAP-Server bietet mehreren Benutzern im lokalen Netz einen komfortablen Mailabruf.
  • Mozilla 0.9.1 erschienen
    Mozilla ist das Projekt, das seit Freigabe der Netscape-Sourcen die Entwicklung des populärsten Linux-Browsers vorantreibt. Netscape 6 basiert auf Mozilla, und mit Version 0.9.1 gibt es ein Update des Web-Drachen.
  • Neue Erweiterungen beim IMAP-Server Dovecot 1.2
    Der freie IMAP- und POP3-Server Dovecot ist in Version 1.2 erhältlich. Er setzt neue Erweiterungen des IMAP-Protokolls um und bringt zuzsätzliche Plugins mit.
  • Kontact: Zentrale Kalender- und Adressverwaltung via IMAP
    Es muss nicht immer Groupware sein: Mit Kontact haben Sie neben Ihren E-Mails auch Kontakte und Kalender jederzeit zur Hand. Dabei ermöglicht IMAP die konsistente Nutzung von mehreren Arbeitsstationen aus.
  • Di@gnose
    Wenn die Mails nicht mehr fließen, ist guter Rat teuer. Wir zeigen Ihnen, wie Sie dem Fehler auf die Schliche kommen.

Kommentare

Aktuelle Fragen

Brother Drucker DCP-J4120
Achim Zerrer, 09.12.2016 18:08, 0 Antworten
Hallo, ich wollte unter Leap 42.1 den Brother Drucker installieren und dazu das PPD- Datei vom do...
Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...