Objet: Vulnérabilité dans sendmail pour IBM AIX

Risque

Contournement de la politique de sécurité.

Systèmes affectés

• IBM AIX 5.x ;
• IBM AIX 6.x.

Résumé

Une vulnérabilité dans sendmail pour IBM AIX permet à un utilisateur distant malintentionné de contourner la politique de sécurité du système.

Description

Une vulnérabilité dans sendmail, causée par une erreur dans le traitement du caractère nul dans le champ Common Name (CN), peut être exploitée par une personne malveillante afin de réaliser des attaques de type homme-au-milieu ou de contourner la politique de contrôle d'accès.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité IBM isgIZ72510 du 09 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72510
  

• Bulletin de sécurité IBM isgIZ72515 du 09 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72515
  

• Bulletin de sécurité IBM isgIZ72526 du 09 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72526
  

• Bulletin de sécurité IBM isgIZ72528 du 09 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72528
  

• Bulletin de sécurité IBM isgIZ72539 du 09 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72539
  

• Bulletin de sécurité IBM isgIZ72602 du 10 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72602
  

• Bulletin de sécurité IBM isgIZ72834 du 12 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72834
  

• Bulletin de sécurité IBM isgIZ72835 du 12 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72835
  

• Bulletin de sécurité IBM isgIZ72836 du 12 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72836
  

• Bulletin de sécurité IBM isgIZ72837 du 12 mars 2010 :

  http://www-01.ibm.com/support/docview.wss?uid=isgIZ72837
  

• Référence CVE CVE-2009-4565 :

  https://www.cve.org/CVERecord?id=CVE-2009-4565