S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 décembre 2005
N° CERTA-2005-AVI-496
Affaire suivie par: CERT-FR
le 21 décembre 2005

Avis du CERT-FR

Objet: Vulnérabilité de Xmail

Gestion du document

Référence CERTA-2005-AVI-496
Titre Vulnérabilité de Xmail
Date de la première version 21 décembre 2005
Date de la dernière version 21 décembre 2005
Source(s) Gentoo : GLSA 200512-05
CVE : CAN-2005-2943
Debian : DSA-902-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • élévation de privilèges.

Systèmes affectés

Les versions de Xmail antérieures à 1.22.

Se reporter au bulletin des vendeurs pour la liste exhaustive des versions affectées connues.

Description

Xmail est un serveur qui met en œuvre les protocoles ESMTP et POP3.

Cette application a une vulnérabilité de type débordement de variable. Cette vulnérabilité permettrait l'exécution de code malveillant avec les droits du groupe mail.

Le savoir-faire pour exploiter cette vulnérabilité a été publié. Il suffit de soumettre à Xmail une adresse de messagerie astucieusement construite.

Solution

Appliquer le correctif. La version 1.22 de Xmail corrige cette vulnérabilité. Des mises à jours spécifiques sous forme de paquetages sont fournies par les différents vendeurs de distributions.

Documentation

Gestion détaillée du document

    le 21 décembre 2005
    version initiale.