Рекомендация Debian по безопасности

DLA-383-1 claws-mail -- обновление безопасности LTS

Дата сообщения:
12.01.2016
Затронутые пакеты:
claws-mail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8614, CVE-2015-8708.
Более подробная информация:

"DrWhax" из проекта Tails сообщил, что в Claws Mail отсутствуют проверки границ массивов в некоторых функциях преобразования текста. Удалённый злоумышленник может использовать эту уязвимость для запуска произвольного кода от лица пользователя, получившего с помощью Claws Mail сообщение злоумышленника.

  • CVE-2015-8614

    Отсутствуют проверки длины вывода для преобразования между JIS (ISO-2022-JP) и EUC-JP, между JIS и UTF-8, а также из Shift_JIS в EUC-JP.

  • CVE-2015-8708

    Оригинальное исправление для CVE-2015-8614 было неполным.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.7.6-4+squeeze2.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта проблема будет исправлена позже. Эти версии собраны с флагами для усиления безопасности, что делает указанную проблему сложнее в использовании злоумышленниками.