1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-16 / metamail |
| Date de Parution | 17 Mars 2006 |
| Impact | Haut |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| net-mail/metamail | < 2.7.45.3-r1 | >= 2.7.45.3-r1 | Toutes |
3. Synopsis
Un dépassement de buffer dans Metamail peut être exploité dans le but de faire executer une portion de code arbitraire par le système vulnérable.
4. InformationsMetamail est un programme utilisé pour décoder les portions MIME d'un mail.
5. Description
Ulf Harnhammar a découvert un dépassement de buffer dans Metamail lors de son traitement des en-têtes "boundaries" MIME.
6. Impact de la faille
En envoyant un mail spécifiquement forgé, il est possible pour un attaquant distant de crasher Metamail ou d'exploiter cette faille dans le but de faire executer par l'utilisateur une portion de code arbitraire.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de Metamail doivent mettre à jour ce dernier.
# emerge --sync # emerge --ask --oneshot --verbose ">=net-mail/metamail-2.7.45.3-r1"
9. Références