Vulnérabilité de Aspell

Gestion du document

Référence	CERTA-2004-AVI-206
Titre	Vulnérabilité de Aspell
Date de la première version	23 juin 2004
Date de la dernière version	21 décembre 2004
Source(s)	Avis de sécurité Nettwerked UK du 08 juin 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Déni de service
Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions de Aspell.

Résumé

Une vulnérabilité dans la manipulation des dictionnaires par Aspell permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur la machine vulnérable.

Description

Aspell est un logiciel de correction orthographique.
Aspell contient un utilitaire de compression et décompression de listes de mots appelé word-list-compress.
Une vulnérabilité dans cet utilitaire permet à un utilisateur mal intentionné, via un dictionnaire habilement constitué, de réaliser un déni de service ou d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Gentoo GLSA 200406-14 du 17 juin 2004 :

http://www.gentoo.org/security/en/glsa/glsa-200406-14.xml

Bulletin de sécurité Mandrake MDKSA-2004:153 du 21 décembre 2004 :

http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:153

Bulletin de sécurité OpenBSD pour Aspell du 19 juin 2004 :

http://www.vuxml.org/openbsd/

Bulletin de sécurité de Nettwerked UK du 08 juin 2004 :

http://nettwerked.mg2.org/advisories/wlc

Site Internet de Aspell :

http://aspell.sourceforge.net

Gestion détaillée du document

le 23 juin 2004: version initiale.
le 24 juin 2004: ajout référence au bulletin de sécurité de Gentoo.
le 21 décembre 2004: ajout référence au bulletin de sécurité de Mandrake. Ajout référence CVE.

Avis du CERT-FR

Objet: Vulnérabilité de Aspell