Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Pine versions 4.56 et antérieures.

Résumé

Deux vulnérabilités dans le client de messagerie Pine permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

Pine est un client de messagerie textuel développé par l'Université de Washington. Deux vulnérabilités de type débordement de mémoire sont présentes dans le traitement des messages électroniques par Pine. La première vulnérabilité est une mauvaise gestion du champ message/external-body de l'en-tête des messages. La seconde vulnérabilité est un débordement de mémoire dans la fonction rfc2231_get_param(). Il est ainsi possible pour un utilisateur mal intentionné d'exécuter du code arbitraire à distance par l'envoi d'un message électronique judicieusement composé.

Solution

Mettre à jour Pine en version 4.58. La nouvelle version de Pine peut être obtenue à l'adresse suivante :

http://www.washigton.edu/pine/getpine/

Documentation