1 Vulnérabilité dans Sendmail
Une vulnérabilité a été découverte dans le logiciel de routage de messages électroniques sendmail. Cette vulnérabilité concerne un problème dans la gestion des messages asynchrones et s’avère exploitable à distance.
Tous les systèmes dont sendmail est le logiciel de messagerie en utilisation et accessible depuis l’Internet sont potentiellement vulnérables. Néanmoins, certains systèmes n’utilisent pas sendmail comme logiciel de messagerie par défaut, mais d’autres logiciels tels que postfix, exim ou qmail qui ne sont pas touchés par cette vulnérabilité. De plus, certains systèmes utilisent bien sendmail mais il n’écoute pas les connexions venant d’Internet (écoute sur l’interface 127.0.0.1). Ceci attenue grandement le risque de compromission. Les systèmes concernés sont donc ceux utilisant sendmail en écoute de connexions sur une ou plusieurs interfaces.
L’activité de recherche en matière d’exploitation s’intensifie et il paraît raisonnable de penser qu’un code d’exploitation sera disponible d’ici quelques jours, probablement suivit de l’apparition d’un ver. A ce jour, la plupart des vendeurs et des distributions ont mis à disposition un correctif de sécurité. Le CERTA a émis un bulletin de sécurité (CERTA-2006-AVI-124) le 23 mars 2006 et une alerte de sécurité (CERTA-2006-ALE-003) le 24 mars 2006.
Le CERTA recommande l’application du correctif dans les plus brefs délais afin de se prémunir contre tout code malveillant à venir.
2 Vulnérabilités dans Microsoft Internet Explorer
Deux vulnérabilités non-corrigées ont été découvertes dans Internet Explorer. Elles permettent toutes les deux de provoquer un déni de service ou d’éxécuter du code arbitraire au moins pour la seconde. Le CERTA a donc émis une alerte CERTA-2006-ALE-002 décrivant le problème. Dans l’attente de correctifs, il est donc recommandé d’utiliser un navigateur alternatif comme Opera ou Firefox.Rappel des avis émis
Dans la période du 13 au 19 mars 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-102 : Vulnérabilité dans l’installation Ubuntu
- CERTA-2006-AVI-103-002 : Vulnérabilité dans GnuPG
- CERTA-2006-AVI-104-003 : Vulnérabilité de Kpdf
- CERTA-2006-AVI-105 : Vulnérabilité de SSH.com SFTP
- CERTA-2006-AVI-106-001 : Vulnérabilité de Metamail
- CERTA-2006-AVI-107 : Vulnérabilité dans WordPress
- CERTA-2006-AVI-108 : Multiples vulnérabilités dans MacOS
- CERTA-2006-AVI-109-001 : Vulnérabilité dans Metamail
- CERTA-2006-AVI-110-001 : Vulnérabilité dans Flex
- CERTA-2006-AVI-111 : Vulnérabilité de nfsd sous FreeBSD
- CERTA-2006-AVI-112 : Multiples vulnérabilités dans Microsoft Office
- CERTA-2006-AVI-113 : Vulnérabilité de l’accès aux services dans Microsoft Windows
- CERTA-2006-AVI-114-002 : Vulnérabilités dans Flash Player
- CERTA-2006-AVI-115 : Plusieurs vulnérabilités dans l’outil zoo
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-497-002 : Mise à jour des noyaux des distributions Linux
- CERTA-2005-AVI-499-004 : Vulnérabilité dans la bibliothèque libavcodec
- CERTA-2006-AVI-092-003 : Vulnérabilité de GNU tar
- CERTA-2006-AVI-095-003 : Multiples vulnérabilités dans Squirrelmail