Risque
- Élévation de privilèges
Systèmes affectés
Toutes les versions de kdepim incluses dans KDE en version antérieure à la version 3.1.5.
Résumé
Une vulnérabilité de kdepim dans la gestion des fichiers VCF permet à un utilisateur d'élever ses privilèges.
Description
kdepim (KDE Personal Information Management suite) est un ensemble d'applications permettant la gestion des messages electroniques, des tâches, des rendez-vous et des correspondants. Un débordement de mémoire local dans kdepim permet à un utilisateur mal intentionné, construisant habilement un fichier de type VCF, de réaliser une élévation de privilèges et d'exécuter du code arbitraire sur la machine victime.
Solution
Mettre à jour kdepim selon votre distribution (cf. section documentation).
Documentation
- Avis de sécurité KDE 20040114-1 http://www.kde.org/info/security/advisory-20040114-1.txt
- Avis de sécurité FreeBSD du 15 avril 2004 : http://www.vuxml.org/freebsd/
- Avis de sécurité Gentoo GLSA 200404-02 : http://www.gentoo.org/security/en/glsa/glsa-200404-02.xml
- Avis de sécurité Mandrake MDKSA-2004:003 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:003
- Avis de sécurité RedHat RHSA-2004:006-04 : http://rhn.redhat.com/errata/RHSA-2004-006.html
- Avis de sécurité Slackware SSA:2004-014-01 : http://www.slackware.com/lists/archive/viewer.php?l=slackware-security&y=2004&m=slackware-security.442811