1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-213 Cuatro vulnerabilidades en Mailutils

Se reportarón cuatro vulnerabilidades en GNU Mailutils, pueden explotarse para ocasionar una negación de servicio (DoS) o comprometer un sistema vulnerable.

  • Fecha de Liberación: 26-May-2005
  • Fuente:

    infamous41md

    iDEFENSE Security Advisory
  • CVE ID: CAN-2005-1520 CAN-2005-1521 CAN-2005-1522 CAN-2005-1523
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

GNU Mailutils <= 0.6

  1. Descripción

    infamous41md reportó cuatro vulnerabilidades en GNU Mailutils, pueden explotarse para ocasionar una negación de servicio (DoS) o comprometer un sistema vulnerable.

    1) Un desbordamiento de variable en la función "fetch_io()" en imap4d/fecth.c cuando se manejan peticiones de mensajes parciales, puede ser explotado por usuarios maliciosos para ocasionar un desbordamiento de heap.

    Una explotación exitosa permitirá la ejecución de código arbitrario.

    2) Un error de validación de entrada, en el servicio imap4d cuando procesa comandos FETCH puede explotarse pr usuarios maliciosos para ocasionar que el servicio consuma una gran cantidad de recuros y memoría, vía una secuencia maliciosa.

    3) Un error de formato de cadena en el servicio imap4d cuando procesa etiquetas de comandos puede explotare por personas maliciosas para ejecutar código arbitrario vía una cadena maliciosa que contenga ciertos formatos.

    4) Un error de codificación en la función "header_get_field_name()" en mailbox/header.c puede explotarse para ocasionar un desbordamiento de memoría vía un correo electrónico malicioso.

    Una explotación exitosa permitirá la ejecución de código arbitrario.

    Las vulnerabilidades se reportarón en las versiones 0.5 y 0.6. Otras versiones también podrián ser afectadas.

  2. Impacto

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Las vulnerabilidades fueron corregidas en la versión 0.6.90.

  4. Apéndices

    Mayor información.

    iDefense:

    http://www.idefense.com/246/
    http://www.idefense.com/247/
    http://www.idefense.com/248/
    http://www.idefense.com/249/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT