S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 novembre 2003
N° CERTA-2003-AVI-190
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans HylaFAX

Gestion du document

Référence CERTA-2003-AVI-190
Titre Vulnérabilité dans HylaFAX
Date de la première version12 novembre 2003
Date de la dernière version21 novembre 2003
Source(s) Avis de sécurité SuSE SuSE-SA:2003:045
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Debian Linux Woody et Sid ;
  • Gentoo Linux.
  • Mandrake Linux Corporate Server 2.1 ;
  • Mandrake Linux versions 9.2 et antérieures ;
  • SuSE Linux Desktop 1.0 ;
  • SuSE Linux Enterprise Server 7 ;
  • SuSE Linux Office Server ;
  • SuSE Linux Standard Server 8 ;
  • SuSE Linux versions 9.0 et antérieures ;

Résumé

Une vulnérabilité dans le serveur HylaFAX permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

HylaFAX est un serveur de Fax. Une vulnérabilité dans le serveur hfaxd permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du super-utilisateur root.

Solution

Mettre à jour HylaFAX selon le système concerné (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 novembre 2003
    version initiale.
    le 17 novembre 2003
    ajout du bulletin de sécurité Debian.
    le 21 novembre 2003
    ajout du bulletin de sécurité Gentoo.