Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

SSMTP 2.x.

Résumé

Deux vulnérabilités présentes dans le paquetage SSMTP 2.x permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service à distance.

Description

Deux vulnérabilités de type chaîne de format sont présentes dans les fonctions die() et log_event() dans le paquetage SSMTP.

Un utilisateur mal intentionné peut, via une chaîne malicieusement construite dans certains paramètres, réaliser un déni de service ou exécuter du code arbitraire sur le système ayant une version de SSMTP vulnérable.

Solution

Appliquer le correctif (cf. section documentation).

Documentation