Fecha del reporte: 25 de may 2011

Paquetes afectados: cyrus-imapd-2.2

Más información: Se descubrió que la implementación STARTTLS del servidor Cyrus IMAP no restringe correctamente el bufer I/O, permitiendo a los atacantes estilo "man-in-the-middle" insertar comandos en las sesiones cifradas de IMAP, LMTP, NNTP y POP3 mediante el envío de un comando de texto plano que se procesa después de TLS.

Para la antigua distribución estable (lenny), este problema ha sido corregido en la versión 2.2.13-14+lenny4.

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 2.2.13-19+squeeze1.

Para la distribución inestable (sid), este problema ha sido corregido en la versión 2.2.13p1-11 de cyrus-imapd-2.2 y en la versión 2.4.7-1 de cyrus-imapd-2.4.

Le recomendamos que actualice el paquete cyrus-imapd-2.2.

Original (en inglés): http://www.debian.org/security/2011/dsa-2242