S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 mars 2003
N° CERTA-2003-AVI-069
Affaire suivie par: CERT-FR
le 31 mars 2003

Avis du CERT-FR

Objet: Vulnérabilité de Sendmail

Gestion du document

Référence CERTA-2003-AVI-069
Titre Vulnérabilité de Sendmail
Date de la première version 31 mars 2003
Date de la dernière version 31 mars 2003
Source(s) Avis CA-2003-12 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

Toutes les versions de Sendmail antérieures à la version 8.12.9.

Résumé

Une vulnérabilité dans le traitement des adresses de messagerie permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

Sendmail est un logiciel de routage de messages électroniques.

Une vulnérabilité a été découverte dans le processus de traitement des adresses de messagerie. Un utilisateur mal intentionné peut, par le biais d'un message électronique ayant une adresse de messagerie habilement constituée, exécuter du code arbitraire à distance.

Solution

Installer la version 8.12.9 de Sendmail qui corrige cette vulnérabilité :

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz.sig

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.Z

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.Z.sig

Documentation

Avis CA-2003-12 du CERT/CC :

http://www.cert.org/advisories/CA-2003-12.html

Gestion détaillée du document

    le 31 mars 2003
    version initiale.