漏洞信息详情
Cyrus IMAP 整数溢出漏洞
- CNNVD编号:CNNVD-201512-034 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2015-8078
- 漏洞类型: 数字错误
- 发布时间: 2015-12-04
- 威胁类型: 远程
- 更新时间: 2016-03-15
- 厂 商: cyrus
- 漏洞来源:
-
漏洞简介
Cyrus IMAP是一款免费、开源的基于Unix和Linux操作系统用于支持IMAP(Interactive Mail Access Protocol)协议的邮件服务器。
Cyrus IMAP的imap/index.c文件中的‘index_urlfetch’函数存在整数溢出漏洞,该漏洞源于程序没有正确执行urlfetch范围检查。远程攻击者可借助‘section_offset’变量利用该漏洞获取敏感信息,或造成拒绝服务。以下版本受到影响:Cyrus IMAP 2.3.19版本,2.4.18版本,2.5.6版本。(注:该漏洞源于CNNVD-201512-032补丁的不完全修复)
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://docs.cyrus.foundation/imap/release-notes/2.5/x/2.5.7.html
参考网址
来源:docs.cyrus.foundation
链接:https://docs.cyrus.foundation/imap/release-notes/2.5/x/2.5.7.html
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2015-11/msg00156.html
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2015/11/04/3
来源:cyrus.foundation
链接:https://cyrus.foundation/cyrus-imapd/commit/?id=6fb6a272171f49c79ba6ab7c6403eb25b39ec1b2
受影响实体
- Cyrus Imap:2.4.13<!--2000-1-1-->
- Cyrus Imap:2.4.11<!--2000-1-1-->
- Cyrus Imap:2.4.12<!--2000-1-1-->
- Cyrus Imap:2.4.9<!--2000-1-1-->
- Cyrus Imap:2.4.10<!--2000-1-1-->
补丁
- Cyrus IMAP 整数溢出漏洞的修复措施<!--2015-12-4-->
还没有评论,来说两句吧...