Risque
Exécution de code arbitraire.
Systèmes affectés
- Application sympa version 4.1.2 et versions antérieures ;
- application sympa versions 5.0b et 5.0b1.
Résumé
Une vulnérabilité de l'application sympa permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le système vulnérable avec les privilèges de l'application sympa.
Description
L'application sympa est un outil de gestion de listes de diffusion.
Une vulnérabilité de type débordement de mémoire dans les programmes queue et bouncequeue permet à un utilisateur local mal intentionné d'exécuter du code arbitraire sur le système vulnérable. Le code sera exécuté avec les privilèges de l'application sympa.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de sympa :
http://www.sympa.org
- Bulletin de sécurité Debian DSA-677 du 11 février 2005 :
http://www.debian.org/security/2005/dsa-677
- Mise à jour de sécurité du paquetage NetBSD sympa :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/sympa/README.html
- Bulletin de sécurité FreeBSD pour sympa du 01 juin 2005 :
http://www.vuxml.org/freebsd/pkg-sympa.html
- Référence CVE CAN-2005-0073
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0073