Risque

  • Exécution de code arbitraire à distance avec les privilèges de l'utilisateur courant

Systèmes affectés

Tout système Unix ou Windows utilisant un client de messagerie :

  • Sylpheed antérieur aux versions stables 2.0.4 ou 1.0.6 et de développement 2.1.6,
  • Sylpheed-Claws en version antérieure à la 1.9.100.

Résumé

L'importation d'un carnet d'adresse au format d'échange LDIF (« Lightweight Directory Interchange Format ») malicieusement construit, présente un risque d'exécution de code arbitraire.

Description

Sylpheed et Sylpheed-Claws sont des clients de messagerie utilisant la boîte à outils graphique GTK+ et disponible sur Unix et Windows.

LDIF est un format de fichier texte permettant l'échange et la synchronisation de données entre serveurs d'annuaire LDAP. Ce format est donc employé pour l'échange de carnets d'adresses par certains clients de messagerie (Thunderbird, Evolution, Messenger, Outlook, Kmail,...).

Des erreurs dans le code de Sylpheed et Sylpheed-Claws induisent un risque d'exécution de code.

Solution

Mettre à jour les versions source :

  • Sylpheed versions stables 2.0.4 ou 1.0.6 au moins et version de développement 2.1.6 au moins,
  • Sylpheed-Claws version 1.9.100 au moins.

Ou se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation