Risque
- Exécution de code arbitraire ;
- déni de service.
Systèmes affectés
- Versions de Mutt antérieures à la version 1.4.2 (stable) ;
- versions de Mutt antérieures à la version 1.3.28 (instable).
Résumé
Une vulnérabilité présente dans le client de messagerie Mutt peut être exploitée afin d'exécuter du code arbitraire sur la plate-forme vulnérable.
Description
Mutt est un client de messagerie en mode texte très utilisé sur les plates-formes Linux. Il supporte les protocoles POP3 (Post Office Protocol) et IMAP (Internet Message Access Protocol) pour l'interrogation des serveurs de messagerie.
Une vulnérabilité de type débordement de mémoire est présente dans Mutt.
Un utilisateur mal intentionné peut, par le biais d'un message électronique habilement constitué, exploiter cette vulnérabilité afin d'exécuter du code arbitraire à distance sur la plate-forme cliente avec les privilèges du compte utilisant l'application Mutt.
Solution
Les versions de Mutt 1.3.28 et postérieures ne sont pas vulnérables (branche instable).
Pour la branche stable, installer la version 1.4.2 de Mutt :
http://www.mutt.org
ou appliquer le correctif de l'éditeur :
- Bulletin de sécurité RHSA-2004:050 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-050.html
- Bulletin de sécurité RHSA-2004:051 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-051.html
- Bulletin de sécurité MDKSA-2004:010 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:010
- Bulletin de sécurité FreeBSD du 12 février 2004 :
http://www.vuxml.org/freebsd
Documentation
- Annonce de la version 1.4.2 sur le site de Mutt :
http://www.mutt.org/news.html
- Référence CVE CAN-2004-0078 :
https://www.cve.org/CVERecord?id=CAN-2004-0078
