Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Versions de Mutt de la série 1.2 antérieures à 1.2.5.1 et versions de la série 1.3 antérieures à 1.3.25.
Résumé
Une vulnérabilité présente dans Mutt permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Mutt est un client de messagerie très utilisé sur les plates-formes Linux.Une vulnérabilité de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
La vulnérabilité est présente dans la routine de traitement des adresses au format RFC822 et peut être exploitée par le biais d'un message contenant une liste d'adresses habilement constituées.
Solution
Installer les versions 1.2.5.1 ou 1.3.25 disponibles sur le site
http://www.mutt.org.
Des mises à jour sont également disponibles sous forme de paquetages pour les distributions Linux (cf. section Documentation).
Documentation
- Avis de sécurité DSA-096 de Debian :
http://www.debian.org/security/2002/dsa-096
- Avis de sécurité SuSE-SA:2002:001 de SuSE :
http://www.suse.com/us/support/security
- Avis de sécurité RHSA-2002:003 de RedHat :
http://www.redhat.com/support/errata/RHSA-2002-003.html
- Avis de sécurité FreeBSD-SA-02:04 de FreeBSD :
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:04.mutt.sc
- Avis de sécurité MDKSA-2002:002 de Mandrake :
http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-002.php
