CERTA-2003-AVI-042
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité dans qpopper permet à un utilisateur possédant un compte sur la machine d'augmenter ses privilèges, d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.
Description
qpopper est un serveur POP3 (Post Office Protocol) développé par Qualcomm. Une vulnérabilité dans la fonction Qvsnprintf() permet à un utilisateur possédant un compte sur la machine d'obtenir un shell ou d'exécuter du code à distance avec les privilèges de l'utilisateur mail.
Solution
Pour la Debian 3.0 (woody), mettre à jour qpopper en version 4.0.4-2.woody.3. Sinon, mettre à jour qpopper en version 4.0.4-9.
Toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-9. Pour Debian 3.0 (woody), toutes les versions de qpopper de la série 4.0.x antérieures à la version 4.0.4-2.woody.3.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions de qpopper de la s\u00e9rie 4.0.x ant\u00e9rieures \u00e0 la version 4.0.4-9. Pour Debian 3.0 (woody), toutes les versions de qpopper de la s\u00e9rie 4.0.x ant\u00e9rieures \u00e0 la version 4.0.4-2.woody.3.\u003c/p\u003e",
"content": "## Description\n\nqpopper est un serveur POP3 (Post Office Protocol) d\u00e9velopp\u00e9 par\nQualcomm. Une vuln\u00e9rabilit\u00e9 dans la fonction Qvsnprintf() permet \u00e0 un\nutilisateur poss\u00e9dant un compte sur la machine d\u0027obtenir un shell ou\nd\u0027ex\u00e9cuter du code \u00e0 distance avec les privil\u00e8ges de l\u0027utilisateur mail.\n\n## Solution\n\nPour la Debian 3.0 (woody), mettre \u00e0 jour qpopper en version\n4.0.4-2.woody.3. Sinon, mettre \u00e0 jour qpopper en version 4.0.4-9.\n",
"cves": [],
"links": [
{
"title": "Site internet de qpopper :",
"url": "http://www.eudora.com/qpopper/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SuSE-SA:2003:018 de SuSE :",
"url": "http://www.suse.com/de/security/2003_018_qpopper.html"
}
],
"reference": "CERTA-2003-AVI-042",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-03-13T00:00:00.000000"
},
{
"description": "Ajout r\u00e9f\u00e9rence au bulletin de SuSE. Ajout r\u00e9f\u00e9rence CVE.",
"revision_date": "2003-03-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans qpopper permet \u00e0 un utilisateur poss\u00e9dant un\ncompte sur la machine d\u0027augmenter ses privil\u00e8ges, d\u0027obtenir un shell ou\nd\u0027ex\u00e9cuter du code \u00e0 distance avec les privil\u00e8ges de l\u0027utilisateur mail.\n",
"title": "Vuln\u00e9rabilit\u00e9 de qpopper",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 Debian DSA-259-1",
"url": "http://www.debian.org/security/"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.