S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 février 2004
N° CERTA-2004-AVI-036
Affaire suivie par: CERT-FR
le 12 février 2004

Avis du CERT-FR

Objet: Vulnérabilité de cgiemail

Gestion du document

Référence CERTA-2004-AVI-036
Titre Vulnérabilité de cgiemail
Date de la première version 12 février 2004
Date de la dernière version 12 février 2004
Source(s) Avis de sécurité Debian DSA-437-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Usurpation d'identité ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Pour la distribution Debian GNU/Linux stable : toutes les versions de cgiemail antérieures à la version 1.6-14woody1 ;
  • pour la distribution Debian GNU/Linux unstable : toutes les versions de cgiemail antérieures à la version 1.6-20.

Résumé

Une vulnérabilité dans cgiemail permet à un utilisateur mal intentionné d'envoyer un message électronique à des adresses arbitraires.

Description

cgiemail est un script CGI permettant l'envoi de formulaires HTML par message électronique. Une vulnérabilité dans cgiemail permet à un utilisateur mal intentionné d'envoyer des messages électroniques à des adresses arbitraires. Cette vulnérabilité est typiquement exploitée dans le but d'envoi de messages commerciaux non-sollicités (spam).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 février 2004
    version initiale.