{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me Unix utilisant Postfix, versions 1.1.12 et  ant\u00e9rieures, comme serveur de messagerie.</P>  <P>Les versions courantes 2.x ne sont pas affect\u00e9es.</P>","content":"## Description\n\nLe code analysant les champs d'adresse (\u00abRCPT TO\u00bb, \u00abMAIL FROM\u00bb ou\n\u00abErrors-To\u00bb) peut \u00eatre d\u00e9tourn\u00e9 au profit d'un utilisateur distant\nmalveillant :\n\n-   pour les versions 1.1.9 \u00e0 1.1.12 et ant\u00e9rieures \u00e0 1.1.9 avec\n    l'option \u00abappend_dot_mydomain\u00bb d\u00e9sactiv\u00e9e (activ\u00e9e par d\u00e9faut), le\n    service peut \u00eatre suspendu jusqu'\u00e0 l'effacement du ou des messages\n    par l'administrateur ;\n-   pour les versions 1.1.11 et ant\u00e9rieures, le serveur peut tenter de\n    se connecter \u00e0 une adresse et un port arbitraire.\n\n## Solution\n\n-   Mettre \u00e0 jour \u00e0 partir des sources en version 1.1.13 au moins ou 2.x\n    :\n\n        http://www.postfix.org\n\n-   Debian Linux\n\n        http://www.debian.org/security/2003/dsa-363\n\n-   Linux Mandrake\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:081\n\n-   Red Hat Linux\n\n        http://www.redhat.com/support/errata/RHSA-2003-251.html\n\n-   SuSE Linux\n\n        http://www.suse.de/de/security/2003_033_postfix.html\n","cves":[],"links":[],"reference":"CERTA-2003-AVI-135","revisions":[{"description":"version initiale.","revision_date":"2003-08-07T00:00:00.000000"}],"risks":[{"description":"Balayage de ports par rebond (\u00abbounce scanning\u00bb)"},{"description":"D\u00e9ni de service"}],"summary":"Il est possible pour un utilisateur distant mal intentionn\u00e9 de\ntransmettre des messages volontairement mal r\u00e9dig\u00e9s qui permettent :\n\n-   de suspendre le service de messagerie (r\u00e9f\u00e9rence CVE CAN-2003-540) ;\n-   de tester tout port d'une adresse quelconque (\u00e9ventuel contournement\n    de la protection du r\u00e9seau local par un pare-feu) ou d'utiliser le\n    serveur comme agent d'un r\u00e9seau de d\u00e9ni de service r\u00e9parti\n    (r\u00e9f\u00e9rence CVE CAN-2003-0468).\n","title":"Vuln\u00e9rabilit\u00e9s du serveur de messagerie Postfix","vendor_advisories":[]}