CERTA-2004-AVI-252
Vulnerability from certfr_avis - Published: - Updated:
Plusieurs vulnérabilités dans Courier MTA, Courier-IMAP et Courier SqWebMail permettent à un utilisateur mal intentionné de réaliser de l'injection de données, réaliser un déni de service ou exécuter du code arbitraire à distance.
Description
Courier MTA (Mail Transfer Agent) est un serveur de messagerie. Courier-IMAP est un serveur IMAP (Internet Message Access Protocol). Courier SqWebMail est un module de type webmail pour le serveur de messagerie Courier MTA. Plusieurs vulnérabilités ont été identifiées Courier MTA, Courier-IMAP et Courier SqWebMail :
- Plusieurs débordements de mémoire dans Courier MTA, Courier-IMAP et Courier SqWebMail (CVE CAN-2004-0224) ;
- une vulnérabilité de type Cross-site Scripting dans la fonction print_header_uc de Courier SqWebMail (CVE CAN-2004-0591) ;
Ces vulnérabilités permettent à un utilisateur mal intentionné de réaliser de l'injection de données, réaliser un déni de service ou exécuter du code arbitraire à distance.
Solution
- Mettre à jour Courier MTA en version 0.45 ou supérieure ;
- Mettre à jour Courier-IMAP en version 3.0.0 ou supérieure ;
- Mettre à jour Courier SqWebMail en version 4.0.5 ou supérieure.
<!-- -->
-
A partir des sources :
http://www.courier-mta.org/download.php -
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Impacted products
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Courier MTA versions ant\u00e9rieures \u00e0 la version 0.45 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Courier SqWebMail version 4.0.4 et versions ant\u00e9rieures.",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Courier-IMAP versions ant\u00e9rieures \u00e0 la version 3.0.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nCourier MTA (Mail Transfer Agent) est un serveur de messagerie.\nCourier-IMAP est un serveur IMAP (Internet Message Access Protocol).\nCourier SqWebMail est un module de type webmail pour le serveur de\nmessagerie Courier MTA. Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es\nCourier MTA, Courier-IMAP et Courier SqWebMail :\n\n- Plusieurs d\u00e9bordements de m\u00e9moire dans Courier MTA, Courier-IMAP et\n Courier SqWebMail (CVE CAN-2004-0224) ;\n- une vuln\u00e9rabilit\u00e9 de type Cross-site Scripting dans la fonction\n print_header_uc de Courier SqWebMail (CVE CAN-2004-0591) ;\n\nCes vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nr\u00e9aliser de l\u0027injection de donn\u00e9es, r\u00e9aliser un d\u00e9ni de service ou\nex\u00e9cuter du code arbitraire \u00e0 distance.\n\n## Solution\n\n- Mettre \u00e0 jour Courier MTA en version 0.45 ou sup\u00e9rieure ;\n- Mettre \u00e0 jour Courier-IMAP en version 3.0.0 ou sup\u00e9rieure ;\n- Mettre \u00e0 jour Courier SqWebMail en version 4.0.5 ou sup\u00e9rieure.\n\n```{=html}\n\u003c!-- --\u003e\n```\n- A partir des sources :\n\n http://www.courier-mta.org/download.php\n\n- Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\n correctifs (cf. section Documentation).\n",
"cves": [],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200403-06 du 26 mars 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200403-06.xml"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD courier-auth, courier-imap et sqwebmail :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/sqwebmail/README.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-533 du 22 juillet 2004 :",
"url": "http://www.debian.org/security/2004/dsa-533"
},
{
"title": "Site Internet de Courier MTA, Courier-IMAP et Courier SqWebMail :",
"url": "http://www.courier-mta.org"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD courier-auth, courier-imap et sqwebmail :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/courier-auth/README.html"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD courier-auth, courier-imap et sqwebmail :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/courier-imap/README.html"
}
],
"reference": "CERTA-2004-AVI-252",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-07-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Cross-site scripting"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s dans Courier MTA, Courier-IMAP et Courier\nSqWebMail permettent \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser de\nl\u0027injection de donn\u00e9es, r\u00e9aliser un d\u00e9ni de service ou ex\u00e9cuter du code\narbitraire \u00e0 distance.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Courier MTA, Courier-IMAP et Courier SqWebMail",
"vendor_advisories": []
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…