LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-383-1 claws-mail

Bulletin d'alerte Debian

DLA-383-1 claws-mail -- Mise à jour de sécurité pour LTS

Date du rapport :

12 janvier 2016

Paquets concernés :

claws-mail

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-8614, CVE-2015-8708.

Plus de précisions :

DrWhax du projet Tails a signalé l'absence, dans Claws Mail, de vérifications d'intervalles dans certaines fonctions de conversion de texte. Un attaquant distant pourrait exploiter cela pour exécuter du code arbitraire sous l'identité d'un utilisateur qui reçoit de lui un message avec Claws Mail.

• CVE-2015-8614

  Il n’y avait de vérifications de longueur produite pour les conversions entre JIS (ISO-2022-JP) et EUC-JP, entre JIS et UTF-8 et à partir de Shift_JIS vers EUC-JP.

• CVE-2015-8708

  Le correctif original pour CVE-2015-8614 était incomplet.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 3.7.6-4+squeeze2.

Pour la distribution oldstable (Wheezy) et la distribution stable (Jessie), cela sera corrigé bientôt. Ces versions étaient construites avec des fonctions de durcissement qui rendaient ce problème plus difficile à exploiter.