1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-319 Múltiples vulnerabilidades de formato de cadena en Evolution de GNOME

Se reportarón varias vulnerabilidades en Evolution, que pueden explotarse para comprometer un sistema vulnerable.

  • Fecha de Liberación: 11-Ago-2005
  • Fuente:

    SITIC Vulnerability Advisory
    SA05-001

  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Formato de cadena

Sistemas Afectados

Evolution >= 1.5
Evolution 2.3.6.1
  1. Descripción

    Ulf Harnhammar reportó varias vulnerabilidades en Evolution, que pueden explotarse por personas maliciosas para comprometer un sistema vulnerable.

    1. Un error de formato de cadena cuando se muestra la información del vCard adjunta a un mensaje de correo puede explotarse para ejecutar código arbitrario.

      Una explotación exitosa requiere que el usuario de click sobre "Show Full vCard" o guarde el vCard a su directorio y después lo observe en la tabla de "Contacts".

    2. Hay un error de formato de cadena cuando se muestran datos malicosos de contactos recuperados de un servidor LDAP.

    3. Hay un error de formato de cadena cuando se muestran datos maliciosos de listas de tareas recuperadas de servidores remotos y cuando el usuario guarda la lista de tareas en la tabla "Calendars".

    Las vulnerabilidades fueron reportadas en las versiones 1.5 a la 2.3.6.1.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Las vulnerabilidades fuerón reparadas enla versión 2.3.7(unstable).
    http://ftp.gnome.org/pub/gnome/sources/evolution/

    También se encuentra disponible una actualización no-oficial:
    evolution.formatstring.patch

  4. Apéndices

    Mayor información.

    http://www.sitic.se/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT