Risques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-9. Pour Debian 3.0 (woody), toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-2.woody.3.
Résumé
Une vulnérabilité dans qpopper permet à un utilisateur possédant un compte sur la machine d'augmenter ses privilèges, d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.
Description
qpopper est un serveur POP3 (Post Office Protocol) développé par Qualcomm. Une vulnérabilité dans la fonction Qvsnprintf() permet à un utilisateur possédant un compte sur la machine d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.
Solution
Pour la Debian 3.0 (woody), mettre à jour qpopper en version 4.0.4-2.woody.3. Sinon, mettre à jour qpopper en version 4.0.4-9.
Documentation
- Avis de sécurité Debian DSA-259-1 http://www.debian.org/security/
- Bulletin de sécurité SuSE-SA:2003:018 de SuSE : http://www.suse.com/de/security/2003_018_qpopper.html
- Site internet de qpopper : http://www.eudora.com/qpopper/
