Risque
- Exécution de code arbitraire à distance par un utilisateur authentifié
Systèmes affectés
GNU mailutils version 0.6 et versions antérieures.
Résumé
Une vulnérabilité dans GNU mailutils permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Description
GNU mailutils est un ensemble d'utilitaires relatifs au courrier
électronique. Parmi ces utilitaires, on peut citer le serveur IMAP
imap4d.
Une vulnérabilité de type débordement de mémoire dans le serveur imap4d
lors du traitement de requêtes IMAP SEARCH permet à un utilisateur
authentifié mal intentionné d'exécuter du code arbitraire à distance sur
la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité iDEFENSE Security Advisory 09.09.05 http://www.idefense.com/application/poi/display?id=303&type=vulnerabilities
- Bulletin de sécurité Debian DSA-841 du 04 octobre 2005 : http://www.debian.org/security/2005/dsa-841
- Bulletin de sécurité Gentoo 200509-10 / mailutils du 17 septembre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200509-10.xml
- Site Internet de GNU mailutils : http://www.gnu.org/software/mailutils/mailutils.html
