Avis du CERT-FR

Objet: Vulnérabilité de Calife

Gestion du document

Référence	CERTA-2004-AVI-084
Titre	Vulnérabilité de Calife
Date de la première version	12 mars 2004
Date de la dernière version	12 mars 2004
Source(s)	Avis de sécurité Debian DSA-461-1
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Calife version 2.8.5 et versions antérieures.

Résumé

Une vulnérabilité dans Calife permet à un utilisateur mal intentionné de réaliser une élévation de privilèges.

Description

Calife est un logiciel libre permettant à des utilisateurs prédéfinis d'exécuter des programmes avec les droits du super-utilisateur root. Un débordement de tampon dans une des fonctions de gestion des mots de passe permet à un utilisateur mal intentionné d'élever ses privilèges au niveau du super-utilisateur root.

Solution

Mettre à jour Calife en version 2.8.6 ou supérieure.

Documentation

Site internet de Calife :
```
http://mutt.frmug.org/calife/
```

Référence CVE CAN-2004-0188 :

https://www.cve.org/CVERecord?id=CAN-2004-0188

Avis de sécurité ISS X-Force 15335 :

http://xforce.iss.net/xforce/xfdb/15335

Avis de sécurité Debian DSA-461-1 :

http://www.debian.org/security/2004/dsa-461

Gestion détaillée du document

le 12 mars 2004: version initiale.