1 Vulnérabilité dans Sendmail

Une vulnérabilité a été découverte dans le logiciel de routage de messages électroniques sendmail. Cette vulnérabilité concerne un problème dans la gestion des messages asynchrones et s'avère exploitable à distance.

Tous les systèmes dont sendmail est le logiciel de messagerie en utilisation et accessible depuis l'Internet sont potentiellement vulnérables. Néanmoins, certains systèmes n'utilisent pas sendmail comme logiciel de messagerie par défaut, mais d'autres logiciels tels que postfix, exim ou qmail qui ne sont pas touchés par cette vulnérabilité. De plus, certains systèmes utilisent bien sendmail mais il n'écoute pas les connexions venant d'Internet (écoute sur l'interface 127.0.0.1). Ceci attenue grandement le risque de compromission. Les systèmes concernés sont donc ceux utilisant sendmail en écoute de connexions sur une ou plusieurs interfaces.
L'activité de recherche en matière d'exploitation s'intensifie et il paraît raisonnable de penser qu'un code d'exploitation sera disponible d'ici quelques jours, probablement suivit de l'apparition d'un ver. A ce jour, la plupart des vendeurs et des distributions ont mis à disposition un correctif de sécurité. Le CERTA a émis un bulletin de sécurité (CERTA-2006-AVI-124) le 23 mars 2006 et une alerte de sécurité (CERTA-2006-ALE-003) le 24 mars 2006.

Le CERTA recommande l'application du correctif dans les plus brefs délais afin de se prémunir contre tout code malveillant à venir.

2 Vulnérabilités dans Microsoft Internet Explorer

Deux vulnérabilités non-corrigées ont été découvertes dans Internet Explorer. Elles permettent toutes les deux de provoquer un déni de service ou d'éxécuter du code arbitraire au moins pour la seconde. Le CERTA a donc émis une alerte CERTA-2006-ALE-002 décrivant le problème. Dans l'attente de correctifs, il est donc recommandé d'utiliser un navigateur alternatif comme Opera ou Firefox.

Rappel des publications émises

Dans la période du 13 mars 2006 au 19 mars 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 13 mars 2006 au 19 mars 2006, le CERT-FR a mis à jour les publications suivantes :