JVNDB-2015-006081

JVNDB-2015-006081
Cyrus IMAP の index.c の index_urlfetch 関数における重要な情報を取得される脆弱性
概要
Cyrus IMAP の index.c の index_urlfetch 関数には、重要な情報を取得されるなど、不特定の影響を受ける脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的情報不足のため、「攻撃条件の複雑さ」のスコアは、"低" に設定されています。
影響を受けるシステム

Carnegie Mellon University (Project Cyrus) Cyrus IMAP 2.3.19 未満の 2.3.x Cyrus IMAP 2.4.18 未満の 2.4.x Cyrus IMAP 2.5.4 未満の 2.5.x Novell openSUSE 13.2 openSUSE 13.1

想定される影響
第三者により、urlfetch の範囲 (range) に関する処理を介して、out-of-bounds heap read を誘発されることで、重要な情報を取得されるなど、不特定の影響を受ける可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Carnegie Mellon University (Project Cyrus) Project Cyrus : urlfetch: extra paranoia Project Cyrus : urlfetch: handle range starting outside message size Project Cyrus : Cyrus IMAP 2.4.18 Release Notes Project Cyrus : Cyrus IMAP 2.3.19 Release Notes Project Cyrus : Cyrus IMAP 2.5.4 Release Notes Novell opensuse-updates : openSUSE-SU-2015:1623 opensuse-updates : openSUSE-SU-2015:1622
CWEによる脆弱性タイプ一覧 CWEとは?
バッファエラー(CWE-119) [NVD評価] 情報漏えい(CWE-200) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2015-8076
参考情報
National Vulnerability Database (NVD) : CVE-2015-8076 関連文書 : [oss-security] 20150930 Re: CVE request: urlfetch range handling flaw in Cyrus IMAP 関連文書 : [oss-security] 20151104 Re: CVE request: urlfetch range handling flaw in Cyrus IMAP 関連文書 : [oss-security] 20150929 CVE request: urlfetch range handling flaw in Cyrus
更新履歴
[2015年12月07日] 掲載


公表日	2015/09/24
登録日	2015/12/07
最終更新日	2015/12/07

Cyrus IMAP の index.c の index_urlfetch 関数における重要な情報を取得される脆弱性