Risque
- Déni de service
Systèmes affectés
Toutes les versions de pine strictement antérieures à la version 4.50.
Résumé
Une vulnérabilité dans le client de messagerie pine permet à un utilisateur mal intentionné de créer un déni de service.
Description
pine est un client de messagerie en mode texte. Lors de la réception d'un message électronique, pine n'alloue pas assez de mémoire nécessaire à l'analyse de l'adresse electronique de l'expéditeur. L'exploitation de cette vulnérabilité peut permettre à un utilisateur mal intentionné, envoyant un message électronique dont l'adresse source est habilement constituée, de créer un déni de service sur la machine qui reçoit le message.
Contournement provisoire
Il est possible de contourner provisoirement le problème en filtrant les entêtes des messages reçus avec un utilitaire de filtrage tel que procmail.
Solution
Mettre à jour le paquetage pine en version 4.50 (cf. section documentation).
Documentation
- Avis de sécurité de Linux SuSe : SuSe-SA:2002:046 http://www.suse.de/de/security/2002_046_pine.html
- Avis de sécurité de Mandrake Linux : MDKSA-2002:084 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:084
- Avis de sécurité de RedHat Linux : RHSA-2002:270 http://rhn.redhat.com/errata/RHSA-2002-270.html
