Deux vulnérabilités ont été découvertes dans mutt, un client de courriel en console.
Mutt permettait une attaque de type « homme du milieu » sur fcc/postpone d’IMAP à l'aide d'une réponse PREAUTH.
Mutt possédait un problème de mise en tampon de STARTTLS qui affectait IMAP,
SMTP et POP3. Lorsque le serveur avait envoyé une réponse begin TLS
, le
client lisait des données supplémentaires (par exemple, à partir d’une attaque
d’homme du milieu) et les évaluait dans un contexte TLS, c'est-à-dire « response
injection ».
Pour Debian 8 Jessie
, ces problèmes ont été corrigés dans
la version 1.5.23-3+deb8u2.
Nous vous recommandons de mettre à jour vos paquets mutt.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.