Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Evolution --status-fd Incorrect GnuPG Usage

06/03/2007 11H30
Référence Secunia : SA24412 
Date de publication : 2007-03-06

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Non corrigée


Produit :
GNOME Evolution 2.x

Référence CVE :
CVE-2007-1266


Description :
Gerardo Richarte a rapporté une vulnérabilité dans Evolution, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité.

La vulnérabilité est causée du fait que Evolution n'appele pas GnuPG avec l'option "--status-fd" en vérifiant signatures. Cela rend possible d'injecter des données arbitraires dans un message signé, et affecte la vérification de signatures non-détachées et signatures encapsulées dans des messages encryptés.

La vulnérabilité est rapportée dans 2.8.1. Les autres versions pourraient également être affectées.


Solutions :
Verify signatures manuellement.


Vulnérabilité découverte par :

Gerardo Richarte, Core Security Technologies

Référence :
http://www.coresecurity.com/?action=item&id=1687




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.