Risque

  • Exécution de commandes arbitraires

Systèmes affectés

Pine versions 4.43 et antérieures.

Résumé

En envoyant un mél contenant une URL habilement constituée, un utilisateur mal intentionné peut parvenir à exécuter du code arbitraire à l'insu du destinataire du message.

Description

Pine est un client de messagerie disponible sur de nombreuses plates-formes Linux, Unix, et Windows.

Pine permet à un utilisateur de lancer un butineur Web pour visualiser le document associée à une URL contenue dans un mél.

Un utilisateur mal intentionné peut fabriquer une URL contenant des commandes qui seront exécutées avec les privilèges de l'utilisateur essayant de visualiser l'URL.

Contournement provisoire

Ne pas lancer de butineur Web à partir de Pine.

Solution

La version 4.44 de Pine corrige le problème :

http://www.washington.edu/pine

Documentation