Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:P)
Производитель ПО
Наименование ПО
evolution
(Unknown)
Описание
Функция ntlm_challenge в механизме аутентификации NTLM SASL в camel/camel-sasl-ntlm.c в Camel in Evolution Data Server (другое название - evolution-data-server) не проверяется, согласуется ли значение длины с количеством данных в пакете, что позволяет удаленным почтовым серверам читать данные из памяти процесса клиента или вызвать отказ в обслуживании (аварийное завершение работы клиента), используя пакет NTLM authentication type 2 со значением длины, которое превосходит количество данных в пакете.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://xforce.iss.net/xforce/xfdb/49233
http://bugzilla.redhat.com/487685
http://xforce.iss.net/xforce/xfdb/49233
http://bugzilla.redhat.com/487685
Ссылки
http://bugzilla.redhat.com/487685
BID (34109): http://www.securityfocus.com/bid/34109
OSVDB (52673): http://osvdb.org/52673
XF (evolution-ntlmsasl-info-disclosure(49233)): http://xforce.iss.net/xforce/xfdb/49233
BID (34109): http://www.securityfocus.com/bid/34109
OSVDB (52673): http://osvdb.org/52673
XF (evolution-ntlmsasl-info-disclosure(49233)): http://xforce.iss.net/xforce/xfdb/49233