Risque
- Exécution de code arbitraire à distance
Systèmes affectés
GnuPG versions 1.4 et 2.0.
Résumé
Une vulnérabilité a été découverte dans GnuPG. Cette vulnérabilité permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
GnuPG est un outil de chiffrement sous licence GNU.
Une vulnérabilité a été découverte dans GnuPG. Cette vulnérabilité, résultant d'une erreur aux limites dans la fonction ask_outfile_name(), peut être exploitée par un attaquant afin d'exécuter du code arbitraire sur la machine cible.
Cette vulnérabilité n'est exploitable que si le mode interactif est utilisé.
Solution
Appliquer le correctif fourni par l'éditeur (cf. Documentation).
Documentation
- Bulletin de sécurité GnuPG http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000241.html
- Correctif de l'éditeur: http://cvs.gnupg.org/cgi-bin/viewcvs.cgi/branches/STABLE-BRANCH-1-4/g10/openfile.c?rev=4349&r1=4215&r2=4349
- Référence CVE CVE-2006-6169 https://www.cve.org/CVERecord?id=CVE-2006-6169