Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Les versions d'Evolution antérieures à 2.8.2.1 (comprise).
Description
Une vulnérabilité a été identifiée dans l'application bureautique Evolution, pouvant servir de client de messagerie, de carnet d'adresses ou de calendrier. Le fichier calendar/gui/e-cal-component-memo-preview.c met en œuvre une fonction nommée write_html() qui ne manipulerait pas correctement certaines chaînes de caractères.
Une personne malveillante pourrait ainsi, en incitant sa victime à ouvrir un « memo » spécialement conçu, exécuter du code arbitraire sur le système ayant une version vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis de sécurité de Secunia Research 2007-44 du 21 mars 2007 : http://secunia.com/secunia_research/2007-44/advisory/
- Bulletin de sécurité Mandriva MDKSA-2007:070 du 27 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:070
- Bulletin de sécurité Ubuntu USN-442-1 du 26 mars 2007 : http://www.ubuntu.com/usn/usn-442-1
- Site du projet Evolution : http://www.gnome.org/projects/evolution/
- Référence CVE CVE-2007-1002 https://www.cve.org/CVERecord?id=CVE-2007-1002