 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 08 septembre
2004
No CERTA-2004-AVI-281-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans gaim
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-281-002 |
| Titre |
Multiples
vulnérabilités dans gaim |
| Date de la première
version |
30 août 2004 |
| Date de la dernière
version |
08 septembre 2004 |
| Source(s) |
Bulletin de
sécurité GLSA 200408-27 de
Gentoo |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
gaim versions 0.81 et antérieures.
De multiples vulnérabilités présentes dans
gaim permettent à un utilisateur distant mal
intentionné d'exécuter du code arbitraire
à distance.
gaim est un client de messagerie instantanée
multi-protocoles (ICQ, MSN Messenger, Yahoo!, IRC, Jabber,
AIM, ...).
De multiples vulnérabilités de type
débordement de mémoire sont présentes dans
gaim :
- CVE CAN-2004-0785 : vulnérabilités
relatives à l'interprétation des messages au
format rtf (Rich Text Format), à la résolution,
via DNS, du nom de machine locale, à la
réception d'URL de taille supérieure à
2048 caractères ;
- CVE CAN-2004-0754 : vulnérabilité
liée à l'allocation mémoire lors de la
réception d'un message habilement constitué
envoyé par un serveur.
De plus, à l'installation de nouvaux "émoticons",
gaim ne filtre pas correctement le nom du fichier archive (CVE
CAN-2004-0784). Il est alors possible pour une personne mal
intentionnée incitant l'utilisateur à installer
une archive habilement constituée, d'exécuter des
commandes au moyen de l'interpréteur de commandes
lancé automatiquement par gaim pour l'installation de
l'archive.
La version 0.82 de gaim corrige ces
vulnérabilités.
- 30 août 2004
- version initiale.
- 01 septembre 2004
- ajout de la référence au bulletin de
sécurité NetBSD.
- 08 septembre 2004
- ajout de la référence au bulletin de
sécurité de Red Hat.
CERTA
2012-01-04
|
|
)
