{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me Unix utilisant le serveur de fax <SPAN class=\n  \"textit\">HylaFAX</SPAN> version 4 dont les sources sont  ant\u00e9rieures ou \u00e9gales \u00e0 la r\u00e9vision 4.2.0.</P>","content":"## Description\n\nLe fichier de configuration host.hfaxd permet de sp\u00e9cifier les h\u00f4tes et\nou utilisateurs autoris\u00e9s \u00e0 utiliser le service. Certaines entr\u00e9es,\ncouramment pr\u00e9sentes par d\u00e9faut, peuvent \u00eatre incorrectement\ninterpr\u00e9t\u00e9es comme un nom d'utilisateur au lieu d'un nom d'h\u00f4te et donc\n\u00eatre utilis\u00e9es pour fournir un acc\u00e8s \u00e0 un utilisateur mal intentionn\u00e9.\n\n## Contournement provisoire\n\nFiltrer les adresses IP autoris\u00e9es \u00e0 se connecter \u00e0 l'aide d'un pare-feu\nen coupure (ports 444/tcp, 4457/tcp et 4459/tcp par d\u00e9faut).\n\n## Solution\n\nUtiliser les sources de HylaFAX en version 4.2.1 au moins ou se r\u00e9f\u00e9rer\nau bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-634 du 11 janvier 2005 :","url":"http://www.debian.org/security/2005/dsa-634"},{"title":"Site officiel de HylaFAX :","url":"http://www.hylafax.org"},{"title":"Bulletin de s\u00e9curit\u00e9 Secunia 13812 du 12 janvier 2005 :","url":"http://secunia.com/advisories/13812/"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200501-21 du 11 janvier    2005 :","url":"http://www.gentoo.org/security/en/glsa/glsa-200501-21.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2005:006 du 12 janvier    2005 :","url":"http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:006"}],"reference":"CERTA-2005-AVI-021","revisions":[{"description":"version initiale.","revision_date":"2005-01-20T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"<span class=\"textit\">HylaFAX</span> fournit un service permettant\nl'envoi et la r\u00e9ception de fax pour les utilisateurs autoris\u00e9s \u00e0 se\nconnecter au serveur. Une mauvaise gestion des restrictions d'acc\u00e8s\npermet \u00e0 un utilisateur mal intentionn\u00e9 d'user de ce service \u00e0 son\nprofit.\n","title":"Vuln\u00e9rabilit\u00e9 dans la configuration du serveur de fax HylaFAX","vendor_advisories":[]}