Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
SSMTP 2.x.
Résumé
Deux vulnérabilités présentes dans le paquetage SSMTP 2.x permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service à distance.
Description
Deux vulnérabilités de type chaîne de format sont présentes dans les fonctions die() et log_event() dans le paquetage SSMTP.
Un utilisateur mal intentionné peut, via une chaîne malicieusement construite dans certains paramètres, réaliser un déni de service ou exécuter du code arbitraire sur le système ayant une version de SSMTP vulnérable.
Solution
Appliquer le correctif (cf. section documentation).
Documentation
- Avis de sécurité Debian http://www.debian.org/security/2004/dsa-485
- Bulletin de sécurité de Gentoo : http://security.gentoo.org/glsa/glsa-200404-18.xml