S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 mars 2003
N° CERTA-2003-AVI-042-001
Affaire suivie par: CERT-FR
le 13 mars 2003

Avis du CERT-FR

Objet: Vulnérabilité de qpopper

Gestion du document

Référence CERTA-2003-AVI-042-001
Titre Vulnérabilité de qpopper
Date de la première version 13 mars 2003
Date de la dernière version 24 mars 2003
Source(s) Avis de sécurité Debian DSA-259-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-9. Pour Debian 3.0 (woody), toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-2.woody.3.

Résumé

Une vulnérabilité dans qpopper permet à un utilisateur possédant un compte sur la machine d'augmenter ses privilèges, d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.

Description

qpopper est un serveur POP3 (Post Office Protocol) développé par Qualcomm. Une vulnérabilité dans la fonction Qvsnprintf() permet à un utilisateur possédant un compte sur la machine d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.

Solution

Pour la Debian 3.0 (woody), mettre à jour qpopper en version 4.0.4-2.woody.3. Sinon, mettre à jour qpopper en version 4.0.4-9.

Documentation

Gestion détaillée du document

    le 13 mars 2003
    version initiale.
    le 24 mars 2003
    Ajout référence au bulletin de SuSE. Ajout référence CVE.