Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : ICU, décodage incorrect de ISO-2022

avril 2009 par Vigil@nce

La bibliothèque ICU ne décode pas correctement certaines séquences
ISO-2022.

 Gravité : 2/4
 Conséquences : camouflage
 Provenance : document
 Moyen d’attaque : 1 attaque
 Compétence de l’attaquant : technicien (2/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 02/04/2009

PRODUITS CONCERNÉS

 Debian Linux
 Red Hat Enterprise Linux
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque ICU (International Components for Unicode) gère
les conversions entre différents encodages Unicode.

Les encodages de caractère ISO-2022-JP, ISO-2022-KR et ISO-2022-CN
sont respectivement utilisés pour le Japonais, le Coréen, et le
Chinois.

La RFC 1468 indique que les emails ISO-2022 doivent être encodés à
l’aide de séquences d’échappement ("Escape(" ou "Escape$") suivies
d’au moins un caractère. Une séquence d’échappement suivie d’une
autre séquence d’échappement est donc invalide. Cependant, ICU
traite ce cas comme étant valide.

Un attaquant peut donc employer deux séquences d’échappement
consécutives afin de contourner les vérifications de sécurité
effectuées avec ICU.

CARACTÉRISTIQUES

 Références : BID-29488, CVE-2008-1036, DSA 1762-1,
RHSA-2009:0296-01, VIGILANCE-VUL-8594
 Url : http://vigilance.fr/vulnerabilite/ICU-decodage-incorrect-de-ISO-2022-8594

Pour modifier vos préférences email (fréquence, seuil de gravité, format) :
https://vigilance.fr/?action=2041549901&langue=1


Voir les articles précédents

    

Voir les articles suivants