CERTA-2003-AVI-063

Vulnerability from certfr_avis - Published: - Updated:

Le client mél Ximian Evolution présente trois vulnérabilités qui permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Description

Deux vulnérabilités concernent le codage UUEncode. La première permet, en construisant malicieusement un en-tête UUEncode, de provoquer l'arrêt brutal de l'application Evolution. La deuxième permet de provoquer un déni de service sur le système en utilisant plusieurs codages UUEncode itératifs.

Une autre vulnérabilité concerne certains fichiers au format MIME. Il est possible d'y inclure un code arbitraire qui sera exécuté par le système vulnérable.

Solution

Installer la version 1.2.3 de Ximian Evolution :

http://www.ximian.com

ou consulter l'éditeur pour connaître la disponibilité des correctifs :

  • avis de sécurité RedHat RHSA-2003:108-16 :

    http://rhn.redhat.com/errata/RHSA-2003-108.html

  • avis de sécurité Gentoo :

    http://forums.gentoo.org/viewtopic.php?t=42816

Ximian Evolution versions 1.2.2 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eXimian Evolution versions 1.2.2 et ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s concernent le codage UUEncode. La premi\u00e8re permet,\nen construisant malicieusement un en-t\u00eate UUEncode, de provoquer l\u0027arr\u00eat\nbrutal de l\u0027application Evolution. La deuxi\u00e8me permet de provoquer un\nd\u00e9ni de service sur le syst\u00e8me en utilisant plusieurs codages UUEncode\nit\u00e9ratifs.  \n\nUne autre vuln\u00e9rabilit\u00e9 concerne certains fichiers au format MIME. Il\nest possible d\u0027y inclure un code arbitraire qui sera ex\u00e9cut\u00e9 par le\nsyst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nInstaller la version 1.2.3 de Ximian Evolution :\n\n    http://www.ximian.com\n\n  \n\nou consulter l\u0027\u00e9diteur pour conna\u00eetre la disponibilit\u00e9 des correctifs :\n\n-   avis de s\u00e9curit\u00e9 RedHat RHSA-2003:108-16 :\n\n        http://rhn.redhat.com/errata/RHSA-2003-108.html\n\n      \n\n-   avis de s\u00e9curit\u00e9 Gentoo :\n\n        http://forums.gentoo.org/viewtopic.php?t=42816\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 CoreSecurity CORE-20030304-01 :",
      "url": "http://www.coresecurity.com/common/showdoc.php?idx=309\u0026idxseccion=10"
    }
  ],
  "reference": "CERTA-2003-AVI-063",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "Contournement de r\u00e8gles de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Le client m\u00e9l Ximian Evolution pr\u00e9sente trois vuln\u00e9rabilit\u00e9s qui\npermettent \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\narbitraire ou de provoquer un d\u00e9ni de service.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de Ximian Evolution",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de CoreSecurity CORE-20030304-01",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.