Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Sylpheed versions stables 0.8.0 à 1.0.3 ;
- Sylpheed versions de développement 1.9.0 à 1.9.4.
Résumé
Une vulnérabilité dans Sylpheed permet l'exécution de code arbitraire à distance.
Description
Sylpheed est un client de messagerie.
Une vulnérabilité de type débordement de mémoire a été découverte lors de l'affichage de messages contenant un nom de fichier attaché encodé avec MIME.
Un utilisateur mal intentionné peut, par le biais d'un message électronique malicieusement construit, exécuter du code arbitraire à distance avec les droits de l'utilisateur de Sylpheed.
Solution
Mettre à jour en version stable 1.0.4 ou en version de développement 1.9.5 ou ultérieure (voir Section Documentation).
Documentation
- Site de Sylpheed :
http://sylpheed.good-day.net
- Bulletin de sécurité Gentoo GLSA 200504-02 du 02 avril 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200504-02.xml
- Mise à jour de sécurité pour Fedora Core 2 du 28 mars 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/update/2
- Mise à jour de sécurité pour Fedora Core 3 du 28 mars 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/update/3
- Bulletin de sécurité FreeBSD pour sylpheed, sylpheed-claws et sylpheed-gtk2 du 31 juillet 2005 :
http://www.vuxml.org/freebsd/pkg-sylpheed.html
http://www.vuxml.org/freebsd/pkg-sylpheed-claws.html
http://www.vuxml.org/freebsd/pkg-sylpheed-gtk2.html
- Référence CVE CAN-2005-0926 :
https://www.cve.org/CVERecord?id=CAN-2005-0926