CERTA-2005-AVI-311

Vulnerability from certfr_avis - Published: 2005-08-12 - Updated: 2005-08-31

None

Description

Les trois vulnérabilités suivantes ont été découverte dans le logiciel Gaim :

  • Un débordement de pile dans la gestion des messages d'abscence d'AIM et ICQ peut être utilisé par une personne mal intentionnée pour exécuter du code arbitraire à distance ;
  • une mauvaise gestion dans le processus d'envoi de fichier permet à un utilisateur mal intentionnée de stopper à distance le logiciel grâce à l'envoi d'un fichier dont le nom aurait été malicieusement construit ;
  • une mauvaise gestion des messages permet à un utilisateur mal intentionnée de stopper à distance le logiciel grâce à l'envoi d'un message malicieusement construit. Cette vulnérabilité n'affecte que les versions de Gaim conçues pour les systèmes PPC et IBM S/390.

Solution

Mettre à jour en version 1.5.0 :

http://gaim.sourceforge.net/downloads.php

Gaim version 1.4.0 et version antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eGaim version 1.4.0 et version  ant\u00e9rieures.\u003c/p\u003e",
  "content": "## Description\n\nLes trois vuln\u00e9rabilit\u00e9s suivantes ont \u00e9t\u00e9 d\u00e9couverte dans le logiciel\nGaim :\n\n-   Un d\u00e9bordement de pile dans la gestion des messages d\u0027abscence d\u0027AIM\n    et ICQ peut \u00eatre utilis\u00e9 par une personne mal intentionn\u00e9e pour\n    ex\u00e9cuter du code arbitraire \u00e0 distance ;\n-   une mauvaise gestion dans le processus d\u0027envoi de fichier permet \u00e0\n    un utilisateur mal intentionn\u00e9e de stopper \u00e0 distance le logiciel\n    gr\u00e2ce \u00e0 l\u0027envoi d\u0027un fichier dont le nom aurait \u00e9t\u00e9 malicieusement\n    construit ;\n-   une mauvaise gestion des messages permet \u00e0 un utilisateur mal\n    intentionn\u00e9e de stopper \u00e0 distance le logiciel gr\u00e2ce \u00e0 l\u0027envoi d\u0027un\n    message malicieusement construit. Cette vuln\u00e9rabilit\u00e9 n\u0027affecte que\n    les versions de Gaim con\u00e7ues pour les syst\u00e8mes PPC et IBM S/390.\n\n## Solution\n\nMettre \u00e0 jour en version 1.5.0 :\n\n    http://gaim.sourceforge.net/downloads.php\n",
  "cves": [],
  "initial_release_date": "2005-08-12T00:00:00",
  "last_revision_date": "2005-08-31T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gaim :",
      "url": "http://gaim.sourceforge.net/security/index.php?id=21"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD :",
      "url": "http://www.vuxml.org/freebsd/pkg-gaim.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SuSE du 19 ao\u00fbt 2005 :",
      "url": "http://www.novell.com/linux/security/advisories/2005_19_sr.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:139 du 15 ao\u00fbt    2005 :",
      "url": "http://www.mandriva.com/security/advisories?name=MDKSA-2005:139"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200508-06 du 15 ao\u00fbt 2005    :",
      "url": "http://security.gentoo.org/glsa/glsa-200508-06.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 OpenBSD :",
      "url": "http://www.vuxml.org/openbsd/pkg-gaim.html"
    },
    {
      "title": "Site de l\u0027\u00e9diteur :",
      "url": "http://gaim.sourceforge.net"
    }
  ],
  "reference": "CERTA-2005-AVI-311",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-08-12T00:00:00.000000"
    },
    {
      "description": "ajout des bulletins de s\u00e9curit\u00e9 OpenBSD et FreeBSD.",
      "revision_date": "2005-08-18T00:00:00.000000"
    },
    {
      "description": "ajout des bulletins de s\u00e9curit\u00e9 Mandriva, Gentoo et SuSE.",
      "revision_date": "2005-08-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": null,
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Gaim",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Red Hat",
      "url": "http://rhn.redhat.com/errata/RHSA-2005-627.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.