Avis du CERTA : Vulnérabilité dans MDaemon
mars 2008 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
MDaemon versions 9.64 et antérieures.
3 Résumé
Une vulnérabilité dans le service IMAP de MDaemon permet à un utilisateur authentifié d’exécuter du code arbitraire à distance.
4 Description
Une vulnérabilité a été découverte dans le traitement des requêtes fetch par le service IMAP de MDaemon. L’exploitation de cette vulnérabilité permet l’exécution de code arbitraire à distance mais nécessite l’utilisation des identifiants d’un compte valide.
5 Solution
Mettre à jour MDaemon en version 9.65 (cf. section Documentation).
6 Documentation
* Notes de version de MDaemon 9.65 du 14 mars 2008 :
http://files.altn.com/MDaemon/Release/RelNotes_en.txt
* Téléchargement de MDaemon 9.65 :