Risques
- Exécution de code arbitraire
- Élévation de privilèges
Systèmes affectés
Les versions de Xmail antérieures à 1.22.
Se reporter au bulletin des vendeurs pour la liste exhaustive des versions affectées connues.
Description
Xmail est un serveur qui met en œuvre les protocoles ESMTP et POP3.
Cette application a une vulnérabilité de type débordement de variable. Cette vulnérabilité permettrait l'exécution de code malveillant avec les droits du groupe mail.
Le savoir-faire pour exploiter cette vulnérabilité a été publié. Il suffit de soumettre à Xmail une adresse de messagerie astucieusement construite.
Solution
Appliquer le correctif. La version 1.22 de Xmail corrige cette vulnérabilité. Des mises à jours spécifiques sous forme de paquetages sont fournies par les différents vendeurs de distributions.
Documentation
- Avis Gentoo : http://www.gentoo.com/security/en/glsa/glsa-200512-05.xml
- Avis de sécurité Debian : ; http://www.debian.org/security/2005/dsa-902
- CVE : ; http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2943
- Référence CVE CVE-2005-2943 https://www.cve.org/CVERecord?id=CVE-2005-2943