Risque
Exécution de code arbitraire.
Systèmes affectés
gaim versions 0.81 et antérieures.
Résumé
Une vulnérabilité de gaim permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
gaim est un client de messagerie instantanée multi-protocoles (ICQ, MSN Messenger, Yahoo!, IRC, Jabber, AIM, ...).
Une vulnérabilité de type débordement de mémoire a été découverte dans l'application gaim.
Elle permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire avec les privilèges de l'utilisateur ayant lancé gaim, par le simple envoi d'un message malicieusement construit.
Solution
La version 0.81-r1 corrige cette vulnérabilité.
Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de gaim :
http://gaim.sourceforge.net
- Bulletin de sécurité Gentoo GLSA-200408-12 du 12 août 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200408-12.xml
- Bulletin de sécurité Mandrake MDKSA-2004:081 du 12 août 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:081
- Bulletin de sécurité SuSE SUSE-SA:2004:025 du 12 août 2004 :
http://www.suse.com/de/security/2004_25_gaim.html
- Bulletin de sécurité FreeBSD pour gaim du 12 août 2004 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité RedHat RHSA-2004:400 du 07 septembre 2004 :
http://rhn.redhat.com/errata/RHSA-2004-400.html
- Référence CVE CAN-2004-0500 :
https://www.cve.org/CVERecord?id=CAN-2004-0500
- Recommandation CERTA-2002-REC-001 du 28 mars 2002 sur l'usage de la messagerie instantanée ou de l'IRC :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-001/index.html
