S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 août 2002
N° CERTA-2002-AVI-196
Affaire suivie par: CERT-FR
le 30 août 2002

Avis du CERT-FR

Objet: Vulnérabilite de HylaFAX

Gestion du document

Référence CERTA-2002-AVI-196
Titre Vulnérabilite de HylaFAX
Date de la première version 30 août 2002
Date de la dernière version 30 août 2002
Source(s) Avis de securité de Mandrake
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

Toutes les versions de HylaFAX antérieures à la version 4.1.3.

Résumé

Plusieurs vulnérabilités dans le paquetage HylaFAX permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

HylaFAX, organisé autour d'une architecture client-serveur, permet l'envoi et la reception de fax. Plusieurs utilitaires du paquetage possèdent des vulnérabilités de type débordement de mémoire permettant l'exécution de code arbitraire : faxgetty, faxrm, faxalter, faxstat, faxwatch, sendfax, sendpage.

Solution

Installer HylaFAX version 4.1.3 (cf. section documentation).

Documentation

Avis de sécurité de Mandrake Linux MDKSA-2002:055 : 

http://www.linux-mandrake.com/en/updates/2002/MDKSA-2002-055.php

Gestion détaillée du document

    le 30 août 2002
    version initiale.