В популярном в мире Linux ПО Cyrus IMAP обнаружена уязвимость, позволяющая удаленно вызвать переполнение буфера в стеке и выполнить произвольный код на сервере с полномочиями пользователя, от имени которого запущен демон Cyrus IMAP. Уязвимость присутствует в Cyrus IMAPD до версии 2.3.2 и связана с ошибкой в модуле popsubfolders (файл - imap/pop3d.c), который отключенный в конфигурации по умолчанию. Для проведения атаки необходимо передать аргумент большой длины при выполнении команды USER.
Описание уязвимости