S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 septembre 2004
N° CERTA-2004-AVI-328
Affaire suivie par: CERT-FR
le 29 septembre 2004

Avis du CERT-FR

Objet: Vulnérabilité dans Sendmail avec SASL

Gestion du document

Référence CERTA-2004-AVI-328
Titre Vulnérabilité dans Sendmail avec SASL
Date de la première version 29 septembre 2004
Date de la dernière version 29 septembre 2004
Source(s) Bulletin de sécurité DSA-554-1 de Debian
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Les versions de sendmail antérieures à 8.12.3-.71 avec la distribution Debian stable (woody) ;
  • les versions de sendmail antérieures à 8.13.1-.13 avec la distribution Debian unstable (sid).

Description

SASL (Simple Authentication and Security Layer) est un mécanisme permettant d'ajouter des fonctionnalités d'authentification à des protocoles réseau.

L'installation du packetage sasl-bin, pour intégrer SASL dans le serveur de messagerie sendmail, emploie un compte possèdant un mot de passe par défaut. Cette vulnérabilité peut permettre à un utilisateur mal intentionné d'employer le serveur de messagerie comme relais ouvert afin d'envoyer des méls non sollicités.

Solution

Appliquer le correctif fourni par l'éditeur (cf. Documentation).

Documentation

Gestion détaillée du document

    le 29 septembre 2004
    version initiale.