Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02901

Опубликовано: 06 июн. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость функции CalDAV серверного демона httpd из состава IMAP-сервера Cyrus связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, вызвать отказ в обслуживании, а также выполнить произвольный код через специально созданную HTTP PUT операцию для события с длинным именем свойства iCalendar

Вендор

Сообщество свободного программного обеспечения
Project Cyrus

Наименование ПО

Debian GNU/Linux
Cyrus

Версия ПО

9 (Debian GNU/Linux)
от 2.5.0 до 2.5.12 включительно (Cyrus)
от 3.0.0 до 3.0.9 включительно (Cyrus)
8 (Debian GNU/Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Cyrus-imapd:
Обновление программного обеспечения до 3.0.8-6 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета cyrus-imapd) до 2.5.10-3+deb9u1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.2861
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-11356

CVSS3: 9.8
ubuntu
больше 6 лет назад

The CalDAV feature in httpd in Cyrus IMAP 2.5.x through 2.5.12 and 3.0.x through 3.0.9 allows remote attackers to execute arbitrary code via a crafted HTTP PUT operation for an event with a long iCalendar property name.

redhat логотип

CVE-2019-11356

CVSS3: 5.6
redhat
больше 6 лет назад

The CalDAV feature in httpd in Cyrus IMAP 2.5.x through 2.5.12 and 3.0.x through 3.0.9 allows remote attackers to execute arbitrary code via a crafted HTTP PUT operation for an event with a long iCalendar property name.

nvd логотип

CVE-2019-11356

CVSS3: 9.8
nvd
больше 6 лет назад

The CalDAV feature in httpd in Cyrus IMAP 2.5.x through 2.5.12 and 3.0.x through 3.0.9 allows remote attackers to execute arbitrary code via a crafted HTTP PUT operation for an event with a long iCalendar property name.

debian логотип

CVE-2019-11356

CVSS3: 9.8
debian
больше 6 лет назад

The CalDAV feature in httpd in Cyrus IMAP 2.5.x through 2.5.12 and 3.0 ...

github логотип

GHSA-v5c4-xfxj-8x84

CVSS3: 9.8
github
больше 3 лет назад

The CalDAV feature in httpd in Cyrus IMAP 2.5.x through 2.5.12 and 3.0.x through 3.0.9 allows remote attackers to execute arbitrary code via a crafted HTTP PUT operation for an event with a long iCalendar property name.

EPSS

Процентиль: 96%
0.2861
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2