S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 mars 2003
N° CERTA-2003-AVI-063
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités de Ximian Evolution

Gestion du document

Référence CERTA-2003-AVI-063
Titre Vulnérabilités de Ximian Evolution
Date de la première version26 mars 2003
Date de la dernière version26 mars 2003
Source(s) Avis de CoreSecurity CORE-20030304-01
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de règles de sécurité
  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Ximian Evolution versions 1.2.2 et antérieures.

Résumé

Le client mél Ximian Evolution présente trois vulnérabilités qui permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Description

Deux vulnérabilités concernent le codage UUEncode. La première permet, en construisant malicieusement un en-tête UUEncode, de provoquer l'arrêt brutal de l'application Evolution. La deuxième permet de provoquer un déni de service sur le système en utilisant plusieurs codages UUEncode itératifs.

Une autre vulnérabilité concerne certains fichiers au format MIME. Il est possible d'y inclure un code arbitraire qui sera exécuté par le système vulnérable.

Solution

Installer la version 1.2.3 de Ximian Evolution :

http://www.ximian.com

ou consulter l'éditeur pour connaître la disponibilité des correctifs :

  • avis de sécurité RedHat RHSA-2003:108-16 :

    http://rhn.redhat.com/errata/RHSA-2003-108.html

  • avis de sécurité Gentoo :

    http://forums.gentoo.org/viewtopic.php?t=42816

Documentation

Gestion détaillée du document

    le 26 mars 2003
    version initiale.