Risque
- Exécution de code arbitraire
Systèmes affectés
- Application sympa version 4.1.2 et versions antérieures ;
- application sympa versions 5.0b et 5.0b1.
Résumé
Une vulnérabilité de l'application sympa permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le système vulnérable avec les privilèges de l'application sympa.
Description
L'application sympa est un outil de gestion de listes de diffusion.
Une vulnérabilité de type débordement de mémoire dans les programmes
queue et bouncequeue permet à un utilisateur local mal intentionné
d'exécuter du code arbitraire sur le système vulnérable. Le code sera
exécuté avec les privilèges de l'application sympa.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-677 du 11 février 2005 http://www.debian.org/security/2005/dsa-677
- Bulletin de sécurité FreeBSD pour sympa du 01 juin 2005 : http://www.vuxml.org/freebsd/pkg-sympa.html
- Mise à jour de sécurité du paquetage NetBSD sympa : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/sympa/README.html
- Référence CVE CAN-2005-0073 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0073
- Site Internet de sympa : http://www.sympa.org
