blob: 60aac973a1d093245c0621ddd8e41eb74d4f9623 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7"
<define-tag description>LTS セキュリティ更新</define-tag>
<define-tag moreinfo>
<p>POP3、IMAP4、SDPS に対応したメール取得プログラム getmail4
に複数の欠陥が発見されました。中間者攻撃を許す可能性があります。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7273">CVE-2014-7273</a>
<p>getmail 4.0.0 から 4.43.0 の IMAP-over-SSL 実装は SSL サーバから送られた
X.509 証明書を検証していません。中間の攻撃者が細工した証明書により
IMAP サーバを偽装することで機密情報の取得を許します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7274">CVE-2014-7274</a>
<p>getmail 4.44.0 の IMAP-over-SSL 実装はサーバのホスト名が X.509 証明書の一般名
(<abbr title="common name">CN</abbr>) のドメイン名に合うことを検証していません。
中間の攻撃者が登録済み認証局からの細工した証明書により
IMAP サーバを偽装することで機密情報の取得を許します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-7275">CVE-2014-7275</a>
<p>getmail 4.0.0 から 4.44.0 の POP3-over-SSL 実装は SSL サーバから送られた
X.509 証明書を検証していません。中間の攻撃者が細工した証明書により
POP3 サーバを偽装することで機密情報の取得を許します。</p></li>
</ul>
<p>squeeze ディストリビューションでは、この問題は新しい上流バージョン
4.46.0-1~deb6u1 を取り込むことで修正されています。
パッケージの更新は青木修さんにより行われました。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2014/dla-106.data"
|