DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2008-1035. Reason: This candidate is a reservation duplicate of CVE-2008-1035. Notes: All CVE users should reference CVE-2008-1035 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage
{
"containers": {
"cna": {
"providerMetadata": {
"dateUpdated": "2008-06-06T09:00:00.000Z",
"orgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"shortName": "mitre"
},
"rejectedReasons": [
{
"lang": "en",
"value": "DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2008-1035. Reason: This candidate is a reservation duplicate of CVE-2008-1035. Notes: All CVE users should reference CVE-2008-1035 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage"
}
]
}
},
"cveMetadata": {
"assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
"assignerShortName": "mitre",
"cveId": "CVE-2008-2007",
"datePublished": "2008-05-22T10:00:00.000Z",
"dateRejected": "2008-06-06T09:00:00.000Z",
"dateReserved": "2008-04-28T00:00:00.000Z",
"dateUpdated": "2008-06-06T09:00:00.000Z",
"state": "REJECTED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.0"
}
Trois vulnérabilités sur Apple iCal
permettent à une personne malintentionnée distante de réaliser un déni
de service ou potentiellement exécuter du code arbitraire.
Description
iCal est une application de calendrier disponible par défaut sur MacOSX.
Ce logiciel utilise notamment des fichiers portant l'extension .ics et
un protocole nommé CalDAV pour le partage d'événements.
Trois vulnérabilités concernant iCal ont récemment été publiées. Deux de
ces vulnérabilités sont dues à une mauvaise validation de certains
entiers. Une personne malintentionnée peut ainsi réaliser un déni de
service en incitant un utilisateur à importer un fichier .ics
spécialement conçu (CVE-2008-2006) et à effectuer certaines actions
spécifiques (double-click sur un événement, par exemple).
La troisième vulnérabilité est également due à une mauvaise validation
du format d'un fichier .ics et permettrait à une personne
malintentionnée d'exécuter du code arbitraire en incitant un utilisateur
à importer un fichier .ics spécialement conçu et à effectuer certaines
actions (CVE-2008-2007).
Pour information, les fichiers .ics peuvent être importés
automatiquement depuis des serveurs CalDAV.
Des preuves de faisabilité ont été diffusées sur l'internet.
Apple a corrigé ces vulnérabilités dans sa mise à jour de sécurité
2008-003 publiée le 28 mai 2008 et détaillée dans l'avis
CERTA-2008-AVI-278.
Contournement provisoire
Le CERTA préconise les recommandations suivantes :
n'importer que des fichiers .ics provenant de personnes de confiance
;
ne s'inscrire que sur des serveurs CalDAV de confiance ;
entrer les événements manuellement ;
dans l'attente d'un correctif, utiliser une application de
calendrier alternative.
Solution
Le CERTA recommande d'appliquer les correctifs 2008-003 d'Apple publiés
le 28 mai 2008 et détaillés dans l'avis CERTA-2008-AVI-278.
Apple iCal 3.01, 3.02 sur MacOSX 10.5 à 10.5.2 (x86 et PowerPC).
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eApple iCal 3.01, 3.02 sur MacOSX 10.5 \u00e0 10.5.2 (x86 et PowerPC).\u003c/P\u003e \u003cP\u003eD\u0027autres versions pourraient \u00eatre vuln\u00e9rables.\u003c/P\u003e",
"closed_at": "2008-05-29",
"content": "## Description\n\niCal est une application de calendrier disponible par d\u00e9faut sur MacOSX.\nCe logiciel utilise notamment des fichiers portant l\u0027extension .ics et\nun protocole nomm\u00e9 CalDAV pour le partage d\u0027\u00e9v\u00e9nements.\n\nTrois vuln\u00e9rabilit\u00e9s concernant iCal ont r\u00e9cemment \u00e9t\u00e9 publi\u00e9es. Deux de\nces vuln\u00e9rabilit\u00e9s sont dues \u00e0 une mauvaise validation de certains\nentiers. Une personne malintentionn\u00e9e peut ainsi r\u00e9aliser un d\u00e9ni de\nservice en incitant un utilisateur \u00e0 importer un fichier .ics\nsp\u00e9cialement con\u00e7u (CVE-2008-2006) et \u00e0 effectuer certaines actions\nsp\u00e9cifiques (double-click sur un \u00e9v\u00e9nement, par exemple).\n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 est \u00e9galement due \u00e0 une mauvaise validation\ndu format d\u0027un fichier .ics et permettrait \u00e0 une personne\nmalintentionn\u00e9e d\u0027ex\u00e9cuter du code arbitraire en incitant un utilisateur\n\u00e0 importer un fichier .ics sp\u00e9cialement con\u00e7u et \u00e0 effectuer certaines\nactions (CVE-2008-2007).\n\nPour information, les fichiers .ics peuvent \u00eatre import\u00e9s\nautomatiquement depuis des serveurs CalDAV.\n\nDes preuves de faisabilit\u00e9 ont \u00e9t\u00e9 diffus\u00e9es sur l\u0027internet.\n\nApple a corrig\u00e9 ces vuln\u00e9rabilit\u00e9s dans sa mise \u00e0 jour de s\u00e9curit\u00e9\n2008-003 publi\u00e9e le 28 mai 2008 et d\u00e9taill\u00e9e dans l\u0027avis\nCERTA-2008-AVI-278.\n\n## Contournement provisoire\n\nLe CERTA pr\u00e9conise les recommandations suivantes :\n\n- n\u0027importer que des fichiers .ics provenant de personnes de confiance\n ;\n- ne s\u0027inscrire que sur des serveurs CalDAV de confiance ;\n- entrer les \u00e9v\u00e9nements manuellement ;\n- dans l\u0027attente d\u0027un correctif, utiliser une application de\n calendrier alternative.\n\n## Solution\n\nLe CERTA recommande d\u0027appliquer les correctifs 2008-003 d\u0027Apple publi\u00e9s\nle 28 mai 2008 et d\u00e9taill\u00e9s dans l\u0027avis CERTA-2008-AVI-278.\n",
"cves": [
{
"name": "CVE-2008-2007",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-2007"
},
{
"name": "CVE-2008-2006",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-2006"
}
],
"initial_release_date": "2008-05-23T00:00:00",
"last_revision_date": "2008-05-29T00:00:00",
"links": [
{
"title": "Bulletin du NIST CVE-2008-2007 du 22 mai 2008 :",
"url": "http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2007"
},
{
"title": "Avis CERTA-2008-AVI-278 du 28 mai 2008 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-278/"
},
{
"title": "Bulletin du NIST CVE-2008-2006 du 22 mai 2008 :",
"url": "http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2006"
}
],
"reference": "CERTA-2008-ALE-007",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2008-05-23T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence aux correctifs publi\u00e9s par Apple et d\u00e9crits dans CERTA-2008-AVI-278.",
"revision_date": "2008-05-29T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Trois vuln\u00e9rabilit\u00e9s sur \u003cspan class=\"textit\"\u003eApple iCal\u003c/span\u003e\npermettent \u00e0 une personne malintentionn\u00e9e distante de r\u00e9aliser un d\u00e9ni\nde service ou potentiellement ex\u00e9cuter du code arbitraire.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Apple iCal",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Core Security CORE-2008-0126",
"url": "http://www.coresecurity.com/index.php5?module=ContentMod\u0026action=item"
}
]
}