L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Convert-UUlib : exécution de code par débordement d'entier

Synthèse de la vulnérabilité 

Un attaquant peut créer un email illicite afin de faire exécuter du code sur les machines dont les logiciels utilisent Convert-UUlib.
Systèmes impactés : Debian, Mandriva Linux, OpenBSD, openSUSE, Unix (plateforme) ~ non exhaustif.
Gravité de cette alerte : 2/4.
Date de création : 20/05/2005.
Dates de révisions : 23/05/2005, 07/06/2005.
Références de cette alerte : BID-13401, CERTA-2006-AVI-536, CVE-2005-1349, DSA-727, DSA-727-1, MDKSA-2006:022, OPSA_20050519-1, SUSE-SR:2005:014, V6-UNIXCONVERTUULIBINTOV, VIGILANCE-VUL-4973.

Description de la vulnérabilité 

La bibliothèque Convert-UUlib est utilisée par les services mail désirant convertir des données en Base64 ou UUencodées. D'autres applications peuvent aussi l'employer.

La fonction UUDecode du fichier uunconc.c stocke les tailles de données dans des entiers signés. Un attaquant peut donc faire employer des valeurs anormalement grandes afin de faire déborder ces entiers et corrompre la mémoire.

Cette vulnérabilité permet ainsi à un attaquant de mener un déni de service et éventuellement de faire exécuter du code sur les logiciels employant Convert-UUlib.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de faille informatique concerne les logiciels ou systèmes comme Debian, Mandriva Linux, OpenBSD, openSUSE, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de vulnérabilité informatique est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis sécurité.

Solutions pour cette menace 

Convert-UUlib : version corrigée.
La version 1.051 est corrigée :
  http://search.cpan.org/dist/Convert-UUlib/

SuSe : nouveaux paquetages Convert-Uulib.
De nouveaux paquetages sont disponibles.

Debian : nouveaux paquetages libconvert-uulib-perl.
De nouveaux paquetages sont disponibles :
  Source :
    http://security.debian.org/pool/updates/main/libc/libconvert-uulib-perl/libconvert-uulib-perl_0.201-2woody1.dsc
      Size/MD5 checksum: 657 fd6e57ac7638a87870b764f9e33b75d0
    http://security.debian.org/pool/updates/main/libc/libconvert-uulib-perl/libconvert-uulib-perl_0.201-2woody1.diff.gz
      Size/MD5 checksum: 2360 da8d0535347a1666befc8e0e3a8757ed
    http://security.debian.org/pool/updates/main/libc/libconvert-uulib-perl/libconvert-uulib-perl_0.201.orig.tar.gz
      Size/MD5 checksum: 291809 62908cff06d03d63be8dfb24d32246f1
  Intel IA-32 :
    http://security.debian.org/pool/updates/main/libc/libconvert-uulib-perl/libconvert-uulib-perl_0.201-2woody1_i386.deb
      Size/MD5 checksum: 64634 0157bd23decf30f047696ae7ccec67d0
  Intel IA-64 :
    http://security.debian.org/pool/updates/main/libc/libconvert-uulib-perl/libconvert-uulib-perl_0.201-2woody1_ia64.deb
      Size/MD5 checksum: 101176 ccb2e4ff4dc330a9e92e53fae89298e7

Mandriva : nouveaux paquetages perl-convert-UUlib.
De nouveaux paquetages sont disponibles :
 Mandriva Linux 10.2:
 8e567c359c242c406e1a11505c6dc05f 10.2/RPMS/perl-Convert-UUlib-1.051-0.1.102mdk.i586.rpm
 077efc401869c15350c816d917bf4341 10.2/SRPMS/perl-Convert-UUlib-1.051-0.1.102mdk.src.rpm
 Mandriva Linux 10.2/X86_64:
 3effe93cf49660d069bbd77040d1108b x86_64/10.2/RPMS/perl-Convert-UUlib-1.051-0.1.102mdk.x86_64.rpm
 077efc401869c15350c816d917bf4341 x86_64/10.2/SRPMS/perl-Convert-UUlib-1.051-0.1.102mdk.src.rpm
 Corporate 3.0:
 e1399f028bbce62afd8db464c5add10e corporate/3.0/RPMS/perl-Convert-UUlib-1.051-0.1.C30mdk.i586.rpm
 064f8c621fa2bfb2396ed6fcfa8f1d51 corporate/3.0/SRPMS/perl-Convert-UUlib-1.051-0.1.C30mdk.src.rpm
 Corporate 3.0/X86_64:
 f2d768502d5a5181b865d8e200373470 x86_64/corporate/3.0/RPMS/perl-Convert-UUlib-1.051-0.1.C30mdk.x86_64.rpm
 064f8c621fa2bfb2396ed6fcfa8f1d51 x86_64/corporate/3.0/SRPMS/perl-Convert-UUlib-1.051-0.1.C30mdk.src.rpm

OpenBSD : nouveau paquetage p5-Convert-Uulib.
La version 1.051 est corrigée :
  pkg_delete p5-Convert-UUlib-0.31
  pkg_add ftp://ftp.openbsd.org/pub/OpenBSD/3.6/packages/i386/p5-Convert-UUlib-1.051.tgz
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de sécurité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.