Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Pine versions 4.56 et antérieures.
Résumé
Deux vulnérabilités dans le client de messagerie Pine permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Pine est un client de messagerie textuel développé par l'Université de Washington. Deux vulnérabilités de type débordement de mémoire sont présentes dans le traitement des messages électroniques par Pine. La première vulnérabilité est une mauvaise gestion du champ message/external-body de l'en-tête des messages. La seconde vulnérabilité est un débordement de mémoire dans la fonction rfc2231_get_param(). Il est ainsi possible pour un utilisateur mal intentionné d'exécuter du code arbitraire à distance par l'envoi d'un message électronique judicieusement composé.
Solution
Mettre à jour Pine en version 4.58. La nouvelle version de Pine peut être obtenue à l'adresse suivante :
http://www.washigton.edu/pine/getpine/
Documentation
- Avis de sécurité iDEFENSE 09.10.03 http://www.idefense.com/advisory/09.10.03.txt
- Avis de sécurité RedHat RHSA-2003:273-01 : https://rhn.redhat.com/errata/RHSA-2003-273.html
- Avis de sécurité Slackware SSA:2003-253-01 : http://www.slackware.com/security/viewer.php?l=slackware-security&y=2003&m=slackware-security.347016
- Avis de sécurité SuSE SuSE-SA:2003:037 : http://www.suse.de/de/security/2003_037_pine.html
- Site Pine à l'Université de Washington : http://www.washington.edu/pine/