Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Les versions de sendmail antérieures à 8.12.3-.71 avec la distribution Debian stable (woody) ;
  • les versions de sendmail antérieures à 8.13.1-.13 avec la distribution Debian unstable (sid).

Description

SASL (Simple Authentication and Security Layer) est un mécanisme permettant d'ajouter des fonctionnalités d'authentification à des protocoles réseau.

L'installation du packetage sasl-bin, pour intégrer SASL dans le serveur de messagerie sendmail, emploie un compte possèdant un mot de passe par défaut. Cette vulnérabilité peut permettre à un utilisateur mal intentionné d'employer le serveur de messagerie comme relais ouvert afin d'envoyer des méls non sollicités.

Solution

Appliquer le correctif fourni par l'éditeur (cf. Documentation).

Documentation