Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
getmail4
(any)
Описание
В getmail4, программе для получения электронной почты с поддержкой
POP3, IMAP4 и SDPS, были обнаружены несколько уязвимостей, которые позволяют
осуществлять атаки по принципу человек-в-середине.
CVE-2014-7273
Реализация IMAP-over-SSL в getmail с версии 4.0.0 до версии 4.43.0
не проверяет сертификаты X.509 с серверов SSL, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
чувствительной информации с помощью специально сформированного сертификата.
CVE-2014-7274
Реализация IMAP-over-SSL в getmail версии 4.44.0 не проверяет
того, совпадает ли имя узла с именем домена в поле
Common Name (CN) сертификата X.509, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
чувствительной информации с помощью специально сформированного сертификата от знакомого
авторитета.
CVE-2014-7275
Реализация POP3-over-SSL в getmail версии с 4.0.0 до версии 4.44.0
не проверяет сертификаты X.509 с серверов SSL, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера POP3 и получения
чувствительной информации с помощью специально сформированного сертификата.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 4.46.0-1~deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 4.46.0-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.46.0-1.
Рекомендуется обновить пакеты getmail4.
POP3, IMAP4 и SDPS, были обнаружены несколько уязвимостей, которые позволяют
осуществлять атаки по принципу человек-в-середине.
CVE-2014-7273
Реализация IMAP-over-SSL в getmail с версии 4.0.0 до версии 4.43.0
не проверяет сертификаты X.509 с серверов SSL, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
чувствительной информации с помощью специально сформированного сертификата.
CVE-2014-7274
Реализация IMAP-over-SSL в getmail версии 4.44.0 не проверяет
того, совпадает ли имя узла с именем домена в поле
Common Name (CN) сертификата X.509, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
чувствительной информации с помощью специально сформированного сертификата от знакомого
авторитета.
CVE-2014-7275
Реализация POP3-over-SSL в getmail версии с 4.0.0 до версии 4.44.0
не проверяет сертификаты X.509 с серверов SSL, что позволяет
осуществлять атаку по принципу человек-в-середине для подделки сервера POP3 и получения
чувствительной информации с помощью специально сформированного сертификата.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 4.46.0-1~deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 4.46.0-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.46.0-1.
Рекомендуется обновить пакеты getmail4.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
getmail4 - 4.46.0-1~deb7u1
Debian GNU/Linux 7:
noarch:
getmail4 - 4.46.0-1~deb7u1
Ссылки
http://www.debian.org/security/dsa-3091/
Источник: CVE
Наименование: CVE-2014-7274
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7274
Источник: CVE
Наименование: CVE-2014-7275
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7275
Источник: CVE
Наименование: CVE-2014-7273
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7273
Источник: CVE
Наименование: CVE-2014-7274
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7274
Источник: CVE
Наименование: CVE-2014-7275
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7275
Источник: CVE
Наименование: CVE-2014-7273
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7273