{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>La vuln\u00e9rabilit\u00e9 permettant la  supression des m\u00e9ls est pr\u00e9sente dans la version sendmail 8.12.0  et les versions ant\u00e9rieures.  <P>Seule la version 8.12.0 est concern\u00e9e par l'\u00e9l\u00e9vation de  privil\u00e8ges et la lecture/modification des m\u00e9ls des  utilisateurs.</P></p>","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 dans la routine de traitement des fichiers et des\nparam\u00e8tres de configuration de sendmail permet \u00e0 un utilisateur mal\nintentionn\u00e9 d'obtenir des privil\u00e8ges lui permettant de manipuler les\nfiles d'attente de m\u00e9ls (lecture, supression, modification de messages)\net dans certains cas obtenir les privil\u00e8ges de l'administrateur (root)\nsur la machine.\n\nCette vuln\u00e9rabilit\u00e9 n'est pr\u00e9sente que dans la version 8.12.0 de\nsendmail.\n\n#### 4.0.0.1\n\nUne autre vuln\u00e9rabilit\u00e9, pr\u00e9sente dans les version 8.12.0 et\nant\u00e9rieures, permet \u00e0 un utilisateur mal intentionn\u00e9 de sp\u00e9cifier des\noptions lors du traitement de la file d'attente des m\u00e9ls (sendmail -q).\nDes options judicieusement choisies permettent de supprimer des m\u00e9ls ou\nde r\u00e9aliser un d\u00e9ni de service.\n\nLes syst\u00e8mes n'autorisant pas le parcours de la file d'attente par un\nutilisateur non privil\u00e9gi\u00e9 (option RestrictQRun) ne sont pas vuln\u00e9rables\n(cette option n'est pas positionn\u00e9e par d\u00e9faut).\n\n## Solution\n\nLa version 8.12.1 de sendmail corrige ces vuln\u00e9rabilit\u00e9s.\n\nElle est disponible sur le site de sendmail :\n\n    http://www.sendmail.org/8.12.1.html\n","cves":[],"links":[],"reference":"CERTA-2001-AVI-106","revisions":[{"description":"version initiale.","revision_date":"2001-10-02T00:00:00.000000"}],"risks":[{"description":"Supression de m\u00e9ls"},{"description":"Lecture, modification des m\u00e9ls"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans sendmail permettent \u00e0 un\nutilisateur mal intentionn\u00e9 de r\u00e9aliser une \u00e9l\u00e9vation de privil\u00e8ges ou\nde manipuler les files d'attente de m\u00e9ls.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Sendmail","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Razor : \"Multiple local sendmail vulnerabilities\"","url":null}]}