Ximian Evolution MIME image/* Content-Type数据包含漏洞

漏洞信息详情

Ximian Evolution MIME image/* Content-Type数据包含漏洞

• CNNVD编号：CNNVD-200303-072
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0130
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-03-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ximian
• 漏洞来源：
  Core Security Tech…

Ximian Evolution是个人和工作组信息管理解决方案，可使用在Linux和Unix操作系统下，集成Email、日历、会议安排、联系人管理等。
Ximian Evolution不正确验证MIME image/* Content-Type字段，远程攻击者可以利用这个漏洞绕过部分安全策略，或处理外部Content-Type类型。
如果EMAIL信息包含image/* Content-Type字段，任何数据可以嵌入到图象信息中，这可以导致嵌入任何HTML标记，使GTKHtml处理，或调用bonobo组件处理外部Content-Type类型。

厂商补丁：
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2003:108-01)以及相应补丁:

RHSA-2003:108-01：Updated Evolution packages fix multiple vulnerabilities

链接：https://www.redhat.com/support/errata/RHSA-2003-108.html” target=”_blank”>https://www.redhat.com/support/errata/RHSA-2003-108.html

补丁下载：

Red Hat Upgrade evolution-1.0.8-11.i386.rpm

ftp://updates.redhat.com/8.0/en/os/i386/evolution-1.0.8-11.i386.rpm

Red Hat Linux 8.0

Red Hat Upgrade evolution-1.0.8-9.7x.i386.rpm

ftp://updates.redhat.com/7.3/en/os/i386/evolution-1.0.8-9.7x.i386.rpm

Red Hat Linux 7.3

Red Hat Upgrade gal-0.19.2-3.7x.i386.rpm

ftp://updates.redhat.com/7.3/en/os/i386/gal-0.19.2-3.7x.i386.rpm

Red Hat Linux 7.3

Red Hat Upgrade gal-devel-0.19.2-3.7x.i386.rpm

ftp://updates.redhat.com/7.3/en/os/i386/gal-devel-0.19.2-3.7x.i386.rpm

Red Hat Linux 7.3

Red Hat Upgrade libgal19-0.19.2-3.7x.i386.rpm

ftp://updates.redhat.com/7.3/en/os/i386/libgal19-0.19.2-3.7x.i386.rpm
Ximian
——
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载1.2.3版本：

http://www.ximian.com/products/ximian_evolution/” target=”_blank”>
http://www.ximian.com/products/ximian_evolution/

来源: BID
名称: 7119
链接:http://www.securityfocus.com/bid/7119

来源: www.coresecurity.com
链接:http://www.coresecurity.com/common/showdoc.php?idx=309&idxseccion=10

来源: BUGTRAQ
名称: 20030321 GLSA: evolution (200303-18)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104826470527308&w=2

来源: REDHAT
名称: RHSA-2003:108
链接:http://www.redhat.com/support/errata/RHSA-2003-108.html

来源: BUGTRAQ
名称: 20030319 CORE-2003-03-04-01: Multiple vulnerabilities in Ximian ‘s Evolution Mail User Agent
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0141.html

来源: MANDRAKE
名称: MDKSA-2003:045
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:045

来源: GENTOO
名称: GLSA-200303-18
链接:http://www.gentoo.org/security/en/glsa/glsa-200303-18.xml

来源: CONECTIVA
名称: CLA-2003:648
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000648

来源: US Government Resource: oval:org.mitre.oval:def:111
名称: oval:org.mitre.oval:def:111
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:111