Informations de sécurité / 1999 / Informations sur la sécurité -- qpopper

Bulletin d'alerte Debian

qpopper -- Dépassement de tampon dans qpopper

Date du rapport :

15 décembre 1999

Paquets concernés :

qpopper

Vulnérabilité :

Non

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 133.
Dans le dictionnaire CVE du Mitre : CVE-1999-0006.

Plus de précisions :

Un dépassement de tampon a été rapporté dans la version bêta de qpopper v3 de Qualcomm. Cette version de qpopper n'est pas incluse dans Debian ; la version de qpopper fournie dans Debian GNU/Linux 2.1 (qpopper 2.3-4) n'est pas vulnérable à ce dépassement de tampon.

La faille est provoquée à cause de l'absence d'un contrôle de la taille des tampons d'entrée, lorsque l'on utilise vsprintf ou sprintf. Pour plus de détails, lisez l'archive du BugTraq de l'université de Stuttgart ou les archives de SecurityFocus. Ces deux liens font référence au même message de l'équipe de support de Qpopper Support chezQualcomm et contiennent le bogue original émis par Mixter.