Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Gaim version 1.4.0 et version antérieures.
Description
Les trois vulnérabilités suivantes ont été découverte dans le logiciel Gaim :
- Un débordement de pile dans la gestion des messages d'abscence d'AIM et ICQ peut être utilisé par une personne mal intentionnée pour exécuter du code arbitraire à distance ;
- une mauvaise gestion dans le processus d'envoi de fichier permet à un utilisateur mal intentionnée de stopper à distance le logiciel grâce à l'envoi d'un fichier dont le nom aurait été malicieusement construit ;
- une mauvaise gestion des messages permet à un utilisateur mal intentionnée de stopper à distance le logiciel grâce à l'envoi d'un message malicieusement construit. Cette vulnérabilité n'affecte que les versions de Gaim conçues pour les systèmes PPC et IBM S/390.
Solution
Mettre à jour en version 1.5.0 :
http://gaim.sourceforge.net/downloads.php
Documentation
- Bulletin de sécurité Red Hat http://rhn.redhat.com/errata/RHSA-2005-627.html
- Bulletin de sécurité FreeBSD : http://www.vuxml.org/freebsd/pkg-gaim.html
- Bulletin de sécurité Gaim : http://gaim.sourceforge.net/security/index.php?id=21
- Bulletin de sécurité Gentoo GLSA-200508-06 du 15 août 2005 : http://security.gentoo.org/glsa/glsa-200508-06.xml
- Bulletin de sécurité Mandriva MDKSA-2005:139 du 15 août 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:139
- Bulletin de sécurité OpenBSD : http://www.vuxml.org/openbsd/pkg-gaim.html
- Bulletin de sécurité SuSE du 19 août 2005 : http://www.novell.com/linux/security/advisories/2005_19_sr.html
- Site de l'éditeur : http://gaim.sourceforge.net
