15625 – Bufferoverflow im Sieve-Parser des Cyrus-IMAPD (2.2)

Bug 15625 - Bufferoverflow im Sieve-Parser des Cyrus-IMAPD (2.2)

Summary: Bufferoverflow im Sieve-Parser des Cyrus-IMAPD (2.2)

Status:	CLOSED FIXED

Alias:	None

Product:	UCS
Classification:	Unclassified
Component:	Security updates
Version:	UCS 2.2
Hardware:	Other Linux

Importance:	P1 normal
Target Milestone:	UCS 2.2-sec4
Assignee:	Arvid Requate
QA Contact:	Moritz Muehlenhoff

URL:
Keywords:

Depends on:
Blocks:	17752
	Show dependency tree / graph

Reported:	2009-09-11 15:50 CEST by Moritz Muehlenhoff
Modified:	2016-08-04 17:21 CEST (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Customer ID:
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Moritz Muehlenhoff

2009-09-11 15:50:38 CEST

+++ This bug was initially created as a clone of Bug #15624 +++

CVE-2009-2632
cyrus-imapd-2.2

Ein Bufferoverflow in Sieve kann zum Ausführen von Schadcode mit den Rechten
des "sieve"-Benutzers führen. Der Bufferoverflow kann durch ein manipuliertes
Sieve-Skript getriggert werden.

Comment 1 Arvid Requate

2009-09-23 11:43:35 CEST

Weitere Lücken im Sieve Code:

 * Mehrere Bufferoverflows im Sieve Parsing Code erlauben Denial of Service und möglicherweise das Ausführen von Schadcode mit den Rechten
des "sieve"-Benutzers. Der Bufferoverflow kann durch ein manipuliertes
Sieve-Skript getriggert werden. (CVE-2009-3235)

Patches hängen an http://bugs.debian.org/547947

Comment 2 Arvid Requate

2009-09-24 11:49:12 CEST

Es gibt ein neues Debian Paket, dass beide CVEs fixed:
http://security.debian.org/pool/updates/main/c/cyrus-imapd-2.2/cyrus-imapd-2.2_2.2.13-10+etch4.dsc

Comment 3 Arvid Requate

2009-11-02 19:40:54 CET

Das Paket wurde aus Debian old-sec in den sec2.2-4 Scope importiert und mit den aus ucs_2.2-0 übernommenen Patches gebaut. Das Neue Paket bringt im 0024-upstream-fix-sieve.dpatch die upstream Fixes mit, die am Debian Bug notiert sind.

Comment 4 Moritz Muehlenhoff

2009-11-06 13:02:41 CET

Der Patch wird korrekt angewendet und Cyrus wurde für amd64 und x86 gebaut.
Ich habe die groupware-Tests aus ucs-test laufen lassen, davon schlugen einige fehl (Free/Busy und ein ACL-Test), was laut Janek aber vorkommen kann.
Ich habe ausserdem mit swaks eine Mail zugestellt, die korrekt zugestellt wurde und in Horde abrufbar war. 
Das Changelog fehlt noch, das werde ich aber selbst nachpflegen, damit das Update heute raus kann.