Risque
Contournement de la politique de sécurité.
Systèmes affectés
- Les versions de sendmail antérieures à 8.12.3-.71 avec la distribution Debian stable (woody) ;
- les versions de sendmail antérieures à 8.13.1-.13 avec la distribution Debian unstable (sid).
Description
SASL (Simple Authentication and Security Layer) est un mécanisme permettant d'ajouter des fonctionnalités d'authentification à des protocoles réseau.
L'installation du packetage sasl-bin
, pour intégrer SASL dans le serveur de messagerie sendmail, emploie un compte possèdant un mot de passe par défaut. Cette vulnérabilité peut permettre à un utilisateur mal intentionné d'employer le serveur de messagerie comme relais ouvert afin d'envoyer des méls non sollicités.
Solution
Appliquer le correctif fourni par l'éditeur (cf. Documentation).
Documentation
- Bulletin de sécurité DSA-554-1 de Debian :
http://www.debian.org/security/2004/dsa-554
- Référence CVE CAN-2004-0833 :
https://www.cve.org/CVERecord?id=CAN-2004-0833