Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Ruby-GNOME2 Gtk::MessageDialog.new() : Vulnérabilité de Format de Chaînes

28/11/2007 12H22
Référence Secunia : SA27825 
Date de publication : 2007-11-28

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : DoS, Accès au système
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Ruby-GNOME2 0.x

Description :
Chris Rohlf a rapporté une vulnérabilité dans Ruby-GNOME2, qui pourrait être exploité par des personnes malintentionnées afin de compromettre une application utilisant la librairie.

La vulnérabilité est causée du fait d'une erreur de format de chaînes dans la méthode "Gtk::MessageDialog.new()" dans gtk/src/rbgtkmessagedialog.c et pourrait être exploité pour exécuter du code arbitraire quand une chaîne spécialement conçue est passé à la fonction affectée.

NOTE : Exploitation et impact de cette vulnérabilité depend on how une application utilise la fonction affectée de la librairie vulnérable.

La vulnérabilité est rapportée en version 0.16.0. Les autres versions pourraient également être affectées.


Solutions :
Corrigé dans le repository SVN.
http://ruby-gnome2.svn.sourceforge.net/viewvc/ruby-gnome2?view=rev&revision=2720


Vulnérabilité découverte par :

Chris Rohlf

Référence :
http://em386.blogspot.com/2007/11/your-favorite-better-than-c-scripting.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient de un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.