Vulnérabilité de Sendmail

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Pour la branche 8.12.x, Sendmail version 8.12.11 et versions antérieures ;
pour la branche 8.13.x, Sendmail version 8.13.5 et versions antérieures.

Résumé

Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.

Description

Sendmail est un logiciel de routage de messages électroniques (Mail Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le logiciel Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance sur la machine vulnérable.

Solution

Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :

http://www.sendmail.org/8.13.6.html

Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :

ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0

ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0

Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).

Documentation

Site Internet de Sendmail :
```
http://www.sendmail.com
```
Page Internet de la version 8.13.6 de Sendmail :
```
http://www.sendmail.org/8.13.6.html
```

Bulletin de sécurité Sendmail du 22 mars 2006 :

http://www.sendmail.com/company/advisory/index.shtml

Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 :

http://www.us-cert.gov/cas/techalerts/TA06-081A.html

http://www.kb.cert.org/vuls/id/834865

Bulletin de sécurité ISS du 22 mars 2006 :

http://xforce.iss.net/xforce/alerts/id/216

Bulletin de sécurité Gentoo GLSA-200603-21 du 22 mars 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml
```

Bulletin de sécurité Mandriva MDKSA-2006:058 du 22 mars 2006 :

http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058

Bulletin de sécurité RedHat RHSA-2006:0264 du 22 mars 2006 :
```
http://rhn.redhat.com/errata/RHSA-2006-0264.html
```
Bulletin de sécurité RedHat RHSA-2006:0265 du 22 mars 2006 :
```
http://rhn.redhat.com/errata/RHSA-2006-0265.html
```

Bulletin de sécurité SUSE SuSE-SA:2006:017 du 22 mars 2006 :

http://www.novell.com/linux/security/advisories/2006_17_sendmail.html

Bulletin de sécurité FreeBSD SA-06:13.sendmail du 22 mars 2006 :

ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc

Mises à jour de sécurité pour Fedora du 22 mars 2006 :

http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/

http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/

Bulletin de sécurité Slackware SSA:2006-081-01 du 22 mars 2003 :

http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.619600

Bulletin de sécurité Sun Alerte #102262 du 22 mars 2006 :

http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1

Bulletin de sécurité Debian DSA-1015 du 23 mars 2006 :
```
http://www.debian.org/security/2006/dsa-1015
```

Bulletin de sécurité IBM AIX du 23 mars 2006 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992

http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993

http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994

Bulletin de sécurité OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 :

http://www.openbsd.org/errata.html#sendmail

http://www.openbsd.org/errata38.html#sendmail

Bulletin de sécurité Avaya ASA-2006-074 du 24 mars 2006 :

http://support.avaya.com/elmodocs2/security/ASA-2006-074.htm

Bulletin de sécurité Avaya ASA-2006-078 du 12 avril 2006 :

http://support.avaya.com/elmodocs2/security/ASA-2006-078.htm

Bulletin de sécurité HP-UX #c00629555 (HPSBUX02108 SSRT061133) du 25 mars 2006 :
```
http://itrc.hp.com/service/cki/docDisplay.do?docId=c00629555
```

Bulletin de sécurité de SGI du 4 avril 2006 :

ftp://patches.sgi.com/support/free/security/advisories/20060302-01-P.asc

Bulletin de sécurité IBM :

http://www14.software.ibm.com/webapp/set2/sas/f/hmc/power5/install/v52.Readme.html#MH00688

Référence CVE CVE-2006-0058 :

https://www.cve.org/CVERecord?id=CVE-2006-0058

Référence	CERTA-2006-AVI-124-005
Titre	Vulnérabilité de Sendmail
Date de la première version	23 mars 2006
Date de la dernière version	23 juin 2006
Source(s)	Bulletin de sécurité Sendmail du 22 mars 2006
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Vulnérabilité de Sendmail

Gestion du document