1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-04 / up-imapproxy |
| Date de Parution | 06 Mars 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| net-mail/up-imapproxy | <= 1.2.4 | >= 1.2.4 | Toutes |
3. Synopsis
Une faille dans IMAP Proxy, liée à une utilisation non sécurisée de certaines chaînes de format, peut être exploitée pour exécuter une portion de code arbitraire.
4. Informations
IMAP Proxy (connu aussi sous le nom up-imapproxy) est un proxy permettant de cacher les transactions IMAP échangées entre un client IMAP et un serveur IMAP.
5. Description
Steve Kemp a découvert deux vulnérabilités de type "format string" dans le code source de IMAP Proxy.
6. Impact de la faille
Un attaquant distant, en incitant un utilisateur à se connecter via IMAP Proxy sur un serveur IMAP aux réponses spécifiquement forgées, peut faire exécuter par IMAP Proxy une portion de code arbitraire avec les permissions de l'utilisateur ayant lancé IMAP Proxy.
7. Solution de contournement
Ne se connecter par le biais d'IMAP Proxy qu'à des serveurs IMAP de confiance
8. Correction de la faille
Les utilisateurs du package IMAP Proxy doivent mettre à jour ce dernier
# emerge --sync # emerge --ask --oneshot --verbose ">=net-mail/up-imapproxy-1.2.4"
9. Références