Внедрение произвольных данных в Cyrus IMAP Server
| Дата публикации: | 03.05.2011 |
| Всего просмотров: | 2389 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 8.5 (AV:N/AC:L/Au:N/C:P/I:C/A:N/E:U/RL:O/RC:C) |
| CVE ID: | CVE-2011-0411 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Cyrus IMAP Server 2.x |
| Уязвимые версии: Cyrus IMAP Server версии до 2.4.7
Описание: Уязвимость существует из-за того, что в существующей реализации TLS некорректно очищаются буферы транспортного уровня во время шифрования данных после получения команды "STARTTLS". Удаленный пользователь может внедрить произвольные незашифрованные данные (например, SMTP команды) до начала шифрования данных, которые будут выполнены по окончанию TLS фазы. URL производителя: asg.web.cmu.edu/cyrus/download/ Решение: Установите последнюю версию 2.4.7 с сайта производителя. |
|
| Ссылки: |
http://cyrusimap.org/mediawiki/index.php/Bugs_Resolved_in_2.4.7 http://bugzilla.cyrusimap.org/show_bug.cgi?id=3424 |