• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3091-1 getmail4 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3091-1 getmail4 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
getmail4 (any)
Описание
В getmail4, программе для получения электронной почты с поддержкой
POP3, IMAP4 и SDPS, были обнаружены несколько уязвимостей, которые позволяют
осуществлять атаки по принципу человек-в-середине.

CVE-2014-7273
Реализация IMAP-over-SSL в getmail с версии 4.0.0 до версии 4.43.0
    не проверяет сертификаты X.509 с серверов SSL, что позволяет
    осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
    чувствительной информации с помощью специально сформированного сертификата.
CVE-2014-7274
Реализация IMAP-over-SSL в getmail версии 4.44.0 не проверяет
    того, совпадает ли имя узла с именем домена в поле
    Common Name (CN) сертификата X.509, что позволяет
    осуществлять атаку по принципу человек-в-середине для подделки сервера IMAP и получения
    чувствительной информации с помощью специально сформированного сертификата от знакомого
    авторитета.
CVE-2014-7275
Реализация POP3-over-SSL в getmail версии с 4.0.0 до версии 4.44.0
    не проверяет сертификаты X.509 с серверов SSL, что позволяет
    осуществлять атаку по принципу человек-в-середине для подделки сервера POP3 и получения
    чувствительной информации с помощью специально сформированного сертификата.

В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 4.46.0-1~deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 4.46.0-1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.46.0-1.
Рекомендуется обновить пакеты getmail4.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
getmail4 - 4.46.0-1~deb7u1
Ссылки
http://www.debian.org/security/dsa-3091/

Источник: CVE
Наименование: CVE-2014-7274
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7274

Источник: CVE
Наименование: CVE-2014-7275
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7275

Источник: CVE
Наименование: CVE-2014-7273
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7273