CERTA-2004-AVI-033

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité présente dans le client de messagerie Mutt peut être exploitée afin d'exécuter du code arbitraire sur la plate-forme vulnérable.

Description

Mutt est un client de messagerie en mode texte très utilisé sur les plates-formes Linux. Il supporte les protocoles POP3 (Post Office Protocol) et IMAP (Internet Message Access Protocol) pour l'interrogation des serveurs de messagerie.

Une vulnérabilité de type débordement de mémoire est présente dans Mutt.

Un utilisateur mal intentionné peut, par le biais d'un message électronique habilement constitué, exploiter cette vulnérabilité afin d'exécuter du code arbitraire à distance sur la plate-forme cliente avec les privilèges du compte utilisant l'application Mutt.

Solution

Les versions de Mutt 1.3.28 et postérieures ne sont pas vulnérables (branche instable).

Pour la branche stable, installer la version 1.4.2 de Mutt :

http://www.mutt.org

ou appliquer le correctif de l'éditeur :

  • Bulletin de sécurité RHSA-2004:050 de Red Hat :

    http://rhn.redhat.com/errata/RHSA-2004-050.html

  • Bulletin de sécurité RHSA-2004:051 de Red Hat :

    http://rhn.redhat.com/errata/RHSA-2004-051.html

  • Bulletin de sécurité MDKSA-2004:010 de Mandrake :

    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:010

  • Bulletin de sécurité FreeBSD du 12 février 2004 :

    http://www.vuxml.org/freebsd
None
Impacted products
Vendor Product Description
N/A N/A Versions de Mutt antérieures à la version 1.4.2 (stable) ;
N/A N/A versions de Mutt antérieures à la version 1.3.28 (instable).
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Versions de Mutt ant\u00e9rieures \u00e0 la version 1.4.2 (stable) ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "versions de Mutt ant\u00e9rieures \u00e0 la version 1.3.28 (instable).",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nMutt est un client de messagerie en mode texte tr\u00e8s utilis\u00e9 sur les\nplates-formes Linux. Il supporte les protocoles POP3 (Post Office\nProtocol) et IMAP (Internet Message Access Protocol) pour\nl\u0027interrogation des serveurs de messagerie.\n\n  \n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire est pr\u00e9sente dans Mutt.\n\nUn utilisateur mal intentionn\u00e9 peut, par le biais d\u0027un message\n\u00e9lectronique habilement constitu\u00e9, exploiter cette vuln\u00e9rabilit\u00e9 afin\nd\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la plate-forme cliente avec\nles privil\u00e8ges du compte utilisant l\u0027application Mutt.\n\n## Solution\n\nLes versions de Mutt 1.3.28 et post\u00e9rieures ne sont pas vuln\u00e9rables\n(branche instable).\n\nPour la branche stable, installer la version 1.4.2 de Mutt :\n\n    http://www.mutt.org\n\n  \n\nou appliquer le correctif de l\u0027\u00e9diteur :\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:050 de Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-050.html\n\n-   Bulletin de s\u00e9curit\u00e9 RHSA-2004:051 de Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-051.html\n\n-   Bulletin de s\u00e9curit\u00e9 MDKSA-2004:010 de Mandrake :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:010\n\n-   Bulletin de s\u00e9curit\u00e9 FreeBSD du 12 f\u00e9vrier 2004 :\n\n        http://www.vuxml.org/freebsd\n",
  "cves": [],
  "links": [
    {
      "title": "Annonce de la version 1.4.2 sur le site de Mutt :",
      "url": "http://www.mutt.org/news.html"
    }
  ],
  "reference": "CERTA-2004-AVI-033",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-02-12T00:00:00.000000"
    },
    {
      "description": "ajout du bulletin de s\u00e9curit\u00e9 FreeBSD.",
      "revision_date": "2004-05-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le client de messagerie Mutt peut \u00eatre\nexploit\u00e9e afin d\u0027ex\u00e9cuter du code arbitraire sur la plate-forme\nvuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 du client de messagerie Mutt",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletins de s\u00e9curit\u00e9 de Red Hat",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.