Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Pour la branche 8.12.x, Sendmail version 8.12.11 et versions antérieures ;
- pour la branche 8.13.x, Sendmail version 8.13.5 et versions antérieures.
Résumé
Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un
utilisateur distant mal intentionné d'exécuter du code arbitraire à
distance. Le fort déploiement de Sendmail combiné à la gravité de la
faille a conduit le CERTA à augmenter le niveau de vigilence au niveau
d'alerte, en plus de l'avis CERTA-2006-AVI-124 publié la jeudi 23 mars
2006.
L'objectif de cette alerte est de sensibiliser les
utilisateurs à la nécessité d'appliquer les correctifs en fonction des
systèmes concernés.
Description
Sendmail est un logiciel de routage de messages électroniques (Mail
Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le
logiciel Sendmail permet à un utilisateur distant mal intentionné
d'exécuter du code arbitraire à distance sur la machine vulnérable.
Solution
Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :
http://www.sendmail.org/8.13.6.html
Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :
ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0
ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0
Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).
Documentation
- Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : http://www.us-cert.gov/cas/techalerts/TA06-081A.html
- Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : http://www.kb.cert.org/vuls/id/834865
- Bulletin de sécurité CERTA-2006-AVI-124 du jeudi 23 mars 2006 : http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-124/index.html
- Bulletin de sécurité Debian DSA-1015 du 23 mars 2006 : http://www.debian.org/security/2006/dsa-1015
- Bulletin de sécurité FreeBSD SA-06:13.sendmail du 22 mars 2006 : ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc
- Bulletin de sécurité Gentoo GLSA-200603-21 du 22 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993
- Bulletin de sécurité ISS du 22 mars 2006 : http://xforce.iss.net/xforce/alerts/id/216
- Bulletin de sécurité Mandriva MDKSA-2006:058 du 22 mars 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058
- Bulletin de sécurité RedHat RHSA-2006:0264 du 22 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0264.html
- Bulletin de sécurité RedHat RHSA-2006:0265 du 22 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0265.html
- Bulletin de sécurité SUSE SuSE-SA:2006:017 du 22 mars 2006 : http://www.novell.com/linux/security/advisories/2006_17_sendmail.html
- Bulletin de sécurité Sendmail du 22 mars 2006 : http://www.sendmail.com/company/advisory/index.shtml
- Bulletin de sécurité Slackware SSA:2006-081-01 du 22 mars 2003 : http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.619600
- Bulletin de sécurité Sun Alerte #102262 du 22 mars 2006 : http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1
- Mises à jour de sécurité pour Fedora du 22 mars 2006 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/
- Mises à jour de sécurité pour Fedora du 22 mars 2006 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/
- Page Internet de la version 8.13.6 de Sendmail : http://www.sendmail.org/8.13.6.html
- Site Internet de Sendmail : http://www.sendmail.com
- Référence CVE CVE-2006-0058 https://www.cve.org/CVERecord?id=CVE-2006-0058
