Risque
- Usurpation d'identité ;
- contournement de la politique de sécurité.
Systèmes affectés
- Pour la distribution Debian GNU/Linux stable : toutes les versions de cgiemail antérieures à la version 1.6-14woody1 ;
- pour la distribution Debian GNU/Linux unstable : toutes les versions de cgiemail antérieures à la version 1.6-20.
Résumé
Une vulnérabilité dans cgiemail permet à un utilisateur mal intentionné d'envoyer un message électronique à des adresses arbitraires.
Description
cgiemail est un script CGI permettant l'envoi de formulaires HTML par message électronique. Une vulnérabilité dans cgiemail permet à un utilisateur mal intentionné d'envoyer des messages électroniques à des adresses arbitraires. Cette vulnérabilité est typiquement exploitée dans le but d'envoi de messages commerciaux non-sollicités (spam).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site internet cgiemail :
http://web.mit.edu/wwwdev/cgiemail/
- Avis de sécurité Debian GNU/Linux DSA-437-1 :
http://www.debian.org/security/2004/dsa-437
- Référence CVE CAN-2002-1575 :
https://www.cve.org/CVERecord?id=CAN-2002-1575