Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Evolution Encrypted Message : Vulnérabilité de Format de Chaînes

05/03/2008 10H40
Référence Secunia : SA29057 
Date de publication : 2008-03-05

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
GNOME Evolution 2.x
Novell Evolution 2.x

Référence CVE :
CVE-2008-0072


Description :
Secunia Research a découvert une vulnérabilité dans Evolution, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

Une erreur de format de chaîne de caractères dans la fonction "emf_multipart_encrypted()" dans mail/em-format.c lors de l'affichage data (par ex. le "Version:" field) depuis an encrypted e-mail message pourrait être exploitée pour exécuter du code arbitraire via un e-mail construit spécifiquement message.

L'exploitation de ce problème est possible seulement si l'utilisateur ouvre un message e-mail malicieux.

La vulnérabilité est confirmée en version 2.12.3. Les autres versions pourraient également être affectées.


Solutions :
Ne pas ouvrir non-fiable e-mail messages.

Différents distributeurs Linux va issue patched versions bientôt.


Vulnérabilité découverte par :

Ulf Harnhammar, Secunia Research.

Référence :
Secunia Research:
http://secunia.com/secunia_research/2008-8/




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.