Bug 8591 - CVE-2005-3573 (DoS): not properly handle UTF8 character encodings in filenames of e-mail attachments
Summary: CVE-2005-3573 (DoS): not properly handle UTF8 character encodings in filename...
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: mailman (show other bugs)
Version: unstable
Hardware: all Linux
: P2 critical
Assignee: Igor Muratov
QA Contact: qa-sisyphus
URL: http://secunia.com/advisories/19167
Keywords:
Depends on:
Blocks:
 
Reported: 2005-12-05 14:22 MSK by Vladimir Lettiev
Modified: 2006-03-09 21:01 MSK (History)
2 users (show)

See Also:

Attachments
Патч_1 (1.60 KB, patch)
2005-12-05 14:25 MSK, Vladimir Lettiev 		no flags Details | Diff
Патч_2 (1.37 KB, patch)
2005-12-05 14:27 MSK, Vladimir Lettiev 		no flags Details | Diff
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2005-12-05 14:22:36 MSK 
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3573

Для 2.1.6 вероятный патч предложен здесь:
http://mail.python.org/pipermail/mailman-users/2005-September/046523.html
Это не фикс, но препятствует DoS-атаке, mailman просто будет игнорировать такие
аттачменты.
Comment 1 Vladimir Lettiev 2005-12-05 14:25:05 MSK 
Created attachment 1274 [details]
Патч_1

Патч, который был включён в состав обновлённого пакета для Mandriva-2006.0
Comment 2 Vladimir Lettiev 2005-12-05 14:27:26 MSK 
Created attachment 1275 [details]
Патч_2

Ещё один патч из того же пакета. Нацелен против переполнения буфера при кривой
дате в обрабатываемом сообщении
Comment 3 Igor Muratov 2005-12-05 14:28:24 MSK 
Этот патч применим только в ветке 2.1.5 В 2.1.6 это уже не так. Код сильно
изменен и я даже не представляю что именно там можно поправить
Comment 4 Vladimir Lettiev 2006-02-17 19:24:44 MSK 
fixed
Comment 5 Michael Shigorin 2006-03-09 21:01:49 MSK 
Насколько понимаю, это исправление и CVE-2005-4153 (fail with an Overflow on bad
date data in a processed message, соотв. mailman-2.1.5-date-overflows.patch).