Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Pine versions 4.56 et antérieures.
Résumé
Deux vulnérabilités dans le client de messagerie Pine permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Pine est un client de messagerie textuel développé par l'Université de Washington. Deux vulnérabilités de type débordement de mémoire sont présentes dans le traitement des messages électroniques par Pine. La première vulnérabilité est une mauvaise gestion du champ message/external-body de l'en-tête des messages. La seconde vulnérabilité est un débordement de mémoire dans la fonction rfc2231_get_param(). Il est ainsi possible pour un utilisateur mal intentionné d'exécuter du code arbitraire à distance par l'envoi d'un message électronique judicieusement composé.
Solution
Mettre à jour Pine en version 4.58. La nouvelle version de Pine peut être obtenue à l'adresse suivante :
http://www.washigton.edu/pine/getpine/
Documentation
- Avis de sécurité iDEFENSE 09.10.03 :
http://www.idefense.com/advisory/09.10.03.txt
- Site Pine à l'Université de Washington :
http://www.washington.edu/pine/
- Avis de sécurité RedHat RHSA-2003:273-01 :
https://rhn.redhat.com/errata/RHSA-2003-273.html
- Avis de sécurité SuSE SuSE-SA:2003:037 :
http://www.suse.de/de/security/2003_037_pine.html
- Avis de sécurité Slackware SSA:2003-253-01 :
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2003&m=slackware-security.347016
- Référence CVE CAN-2003-0720 :
https://www.cve.org/CVERecord?id=CAN-2003-0720
- Référence CVE CAN-2003-0721 :
https://www.cve.org/CVERecord?id=CAN-2003-0721
