Objet: Vulnérabilité dans kdepim

Risque

Elévation de privilèges.

Systèmes affectés

Toutes les versions de kdepim incluses dans KDE en version antérieure à la version 3.1.5.

Résumé

Une vulnérabilité de kdepim dans la gestion des fichiers VCF permet à un utilisateur d'élever ses privilèges.

Description

kdepim (KDE Personal Information Management suite) est un ensemble d'applications permettant la gestion des messages electroniques, des tâches, des rendez-vous et des correspondants. Un débordement de mémoire local dans kdepim permet à un utilisateur mal intentionné, construisant habilement un fichier de type VCF, de réaliser une élévation de privilèges et d'exécuter du code arbitraire sur la machine victime.

Solution

Mettre à jour kdepim selon votre distribution (cf. section documentation).

Documentation

• Avis de sécurité KDE 20040114-1 :

  http://www.kde.org/info/security/advisory-20040114-1.txt
  

• Avis de sécurité RedHat RHSA-2004:006-04 :

  http://rhn.redhat.com/errata/RHSA-2004-006.html
  

• Avis de sécurité Mandrake MDKSA-2004:003 :

  http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:003
  

• Avis de sécurité Slackware SSA:2004-014-01 :

  http://www.slackware.com/lists/archive/viewer.php?l=slackware-security&y=2004&m=slackware-security.442811
  

• Avis de sécurité Gentoo GLSA 200404-02 :

  http://www.gentoo.org/security/en/glsa/glsa-200404-02.xml
  

• Avis de sécurité FreeBSD du 15 avril 2004 :

  http://www.vuxml.org/freebsd/
  

• Référence CVE CAN-2003-0988 :

  https://www.cve.org/CVERecord?id=CAN-2003-0988