S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 avril 2004
N° CERTA-2004-AVI-132-001
Affaire suivie par: CERT-FR
le 16 avril 2004

Avis du CERT-FR

Objet: Vulnérabilités dans SSMTP

Gestion du document

Référence CERTA-2004-AVI-132-001
Titre Vulnérabilités dans SSMTP
Date de la première version 16 avril 2004
Date de la dernière version 27 avril 2004
Source(s) Avis de sécurité Debian
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

SSMTP 2.x.

Résumé

Deux vulnérabilités présentes dans le paquetage SSMTP 2.x permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service à distance.

Description

Deux vulnérabilités de type chaîne de format sont présentes dans les fonctions die() et log_event() dans le paquetage SSMTP.

Un utilisateur mal intentionné peut, via une chaîne malicieusement construite dans certains paramètres, réaliser un déni de service ou exécuter du code arbitraire sur le système ayant une version de SSMTP vulnérable.

Solution

Appliquer le correctif (cf. section documentation).

Documentation

Gestion détaillée du document

    le 16 avril 2004
    version initiale.
    le 27 avril 2004
    ajout référence au bulletin de sécurité de Gentoo.