Vigil@nce : ICU, décodage incorrect de ISO-2022
avril 2009 par Vigil@nce
La bibliothèque ICU ne décode pas correctement certaines séquences
ISO-2022.
– Gravité : 2/4
– Conséquences : camouflage
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 02/04/2009
PRODUITS CONCERNÉS
– Debian Linux
– Red Hat Enterprise Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque ICU (International Components for Unicode) gère
les conversions entre différents encodages Unicode.
Les encodages de caractère ISO-2022-JP, ISO-2022-KR et ISO-2022-CN
sont respectivement utilisés pour le Japonais, le Coréen, et le
Chinois.
La RFC 1468 indique que les emails ISO-2022 doivent être encodés à
l’aide de séquences d’échappement ("Escape(" ou "Escape$") suivies
d’au moins un caractère. Une séquence d’échappement suivie d’une
autre séquence d’échappement est donc invalide. Cependant, ICU
traite ce cas comme étant valide.
Un attaquant peut donc employer deux séquences d’échappement
consécutives afin de contourner les vérifications de sécurité
effectuées avec ICU.
CARACTÉRISTIQUES
– Références : BID-29488, CVE-2008-1036, DSA 1762-1,
RHSA-2009:0296-01, VIGILANCE-VUL-8594
– Url : http://vigilance.fr/vulnerabilite/ICU-decodage-incorrect-de-ISO-2022-8594
Pour modifier vos préférences email (fréquence, seuil de gravité, format) :
https://vigilance.fr/?action=2041549901&langue=1