Risque
Exécution de code arbitraire à distance par un utilisateur authentifié.
Systèmes affectés
GNU mailutils version 0.6 et versions antérieures.
Résumé
Une vulnérabilité dans GNU mailutils permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Description
GNU mailutils est un ensemble d'utilitaires relatifs au courrier électronique. Parmi ces utilitaires, on peut citer le serveur IMAP imap4d.
Une vulnérabilité de type débordement de mémoire dans le serveur imap4d lors du traitement de requêtes IMAP SEARCH permet à un utilisateur authentifié mal intentionné d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de GNU mailutils :
http://www.gnu.org/software/mailutils/mailutils.html
- Bulletin de sécurité iDEFENSE Security Advisory 09.09.05 :
http://www.idefense.com/application/poi/display?id=303&type=vulnerabilities
- Bulletin de sécurité Gentoo 200509-10 / mailutils du 17 septembre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200509-10.xml
- Bulletin de sécurité Debian DSA-841 du 04 octobre 2005 :
http://www.debian.org/security/2005/dsa-841
- Référence CVE CAN-2005-2878 :
https://www.cve.org/CVERecord?id=CAN-2005-2878