CERTA-2005-AVI-186
Vulnerability from certfr_avis

De nombreuses vulnérabilités découvertes dans mailutils permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire ou d'effectuer un déni de service.

Description

Mailutils est une suite de bibliothèques et d'utilitaires destinés à traiter les messages électroniques.

  • Une vulnérabilité de type débordement de mémoire dans le binaire Mail permet à un individu distant malveillant d'exécuter du code arbitraire avec les privilèges de la victime (CAN-2005-1520) ;
  • une vulnérabilité de type débordement de mémoire présente dans la fonction fetch_io() permet à une personne mal intentionnée d'exécuter du code arbitraire à distance (CAN-2005-1521) ;
  • une vulnérabilité dans le traitement des paramètres de la commande FETCH permet à un utilisateur malveillant d'effectuer un déni de de service à distance en consommant toutes les ressources CPU du système (CAN-2005-1522) ;
  • une vulnérabilité de type chaîne de format dans le server imap4d permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire (CAN-2005-1523).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

mailutils 0.6r1 et versions antérieures.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003emailutils 0.6r1 et versions ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nMailutils est une suite de biblioth\u00e8ques et d\u0027utilitaires destin\u00e9s \u00e0\ntraiter les messages \u00e9lectroniques.\n\n-   Une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire dans le binaire\n    Mail permet \u00e0 un individu distant malveillant d\u0027ex\u00e9cuter du code\n    arbitraire avec les privil\u00e8ges de la victime (CAN-2005-1520) ;\n-   une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire pr\u00e9sente dans la\n    fonction fetch_io() permet \u00e0 une personne mal intentionn\u00e9e\n    d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance (CAN-2005-1521) ;\n-   une vuln\u00e9rabilit\u00e9 dans le traitement des param\u00e8tres de la commande\n    FETCH permet \u00e0 un utilisateur malveillant d\u0027effectuer un d\u00e9ni de de\n    service \u00e0 distance en consommant toutes les ressources CPU du\n    syst\u00e8me (CAN-2005-1522) ;\n-   une vuln\u00e9rabilit\u00e9 de type cha\u00eene de format dans le server imap4d\n    permet \u00e0 un utilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\n    arbitraire (CAN-2005-1523).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2005-05-30T00:00:00",
  "last_revision_date": "2005-06-06T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-732 du 03 juin 2005 :",
      "url": "http://www.debian.org/security/2005/dsa-732"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 iDEFENSE #249 du 25 mai 2005 :",
      "url": "http://www.idefense.com/application/poi/display?id=249\u0026type=vulnerabilities"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 iDEFENSE #246 du 25 mai 2005 :",
      "url": "http://www.idefense.com/application/poi/display?id=246\u0026type=vulnerabilities"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 iDEFENSE #248 du 25 mai 2005 :",
      "url": "http://www.idefense.com/application/poi/display?id=248\u0026type=vulnerabilities"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 iDEFENSE #247 du 25 mai 2005 :",
      "url": "http://www.idefense.com/application/poi/display?id=247\u0026type=vulnerabilities"
    }
  ],
  "reference": "CERTA-2005-AVI-186",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-05-30T00:00:00.000000"
    },
    {
      "description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.",
      "revision_date": "2005-06-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "De nombreuses vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans mailutils permettent \u00e0 un\nutilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire ou\nd\u0027effectuer un d\u00e9ni de service.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Mailutils",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200505-20 du 27 mai 2005",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200505-20.xml"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.