SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection Référence Secunia : SA19342 Risque : Critique. Niveau 4 sur 5.  Impact : Accès au système Lieu : A distance Solutions : Correctif de l'éditeur OS : Sendmail Sentrion 1.x Intelligent Quarantine 3.x Sendmail 8.x Sendmail Managed MTA 2.x Sendmail Managed MTA 3.x Sendmail Message Store/SAMS 1.x Sendmail Message Store/SAMS 2.x Sendmail Multi-Switch 2.x Sendmail Multi-Switch 3.x Sendmail Switch 2.x Sendmail Switch 3.x Référence CVE : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0058 Description : ISS X-Force a rapporté une vulnérabilité dans Sendmail, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable. La vulnérabilité est causée du fait qu'une erreur de traitement de signal en recevant et traitant des données de mail en provenance des clients. Cela pourrait être exploité pour corrompre la mémoire en envoyant des données spécialement conçues à certaines intervales de temps. L'exploitation de ce problème permet l'exécution de commandes arbitraires avec les privilèges de the sendmail server daemon. La vulnérabilité a été rapportée dans les produits suivants: * Sendmail 8.13.5 et inférieure * Sendmail 8.12.11 et inférieure * Sendmail Sentrion 1.1 * Sendmail Switch 2.x, 3.0.x, et 3.1.x (Solaris, Linux, AIX, et HP-UX) * Sendmail Managed MTA 2.x, 3.0.x, et 3.1.x (Solaris, Linux, AIX, et HP-UX) * Sendmail Multi-Switch 2.x, 3.0.x, et 3.1.x (Solaris, Linux, AIX, et HP-UX) * Sendmail Message Store/SAMS 1.2.x, 2.0.x, 2.1.x, et 2.2.x (Solaris, Linux, AIX, et HP-UX) * Intelligent Quarantine 3.0 (Solaris ou Linux) Solutions : Mettre à jour en version 8.13.6 ou appliquer le correctif. Correctif pour version 8.13.5: ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0 Correctif pour version 8.12.11: ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0 Utilisateurs des produits commerciaux devraient voir la matrice corrective dans le bulletin de l'éditeur pour des détails. Vulnérabilité découverte par : Mark Dowd, ISS X-Force. Référence : ISS X-Force: http://xforce.iss.net/xforce/alerts/id/216 Sendmail.org: http://www.sendmail.org/8.13.6.html Sendmail.com: http://www.sendmail.com/company/advisory/ Autres références : US-CERT VU#834865: http://www.kb.cert.org/vuls/id/834865 Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire. Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs. |
SECURINFOS
|
|