Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Pour la branche 8.12.x, Sendmail version 8.12.11 et versions antérieures ;
- pour la branche 8.13.x, Sendmail version 8.13.5 et versions antérieures.
Résumé
Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Sendmail est un logiciel de routage de messages électroniques (Mail
Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le
logiciel Sendmail permet à un utilisateur distant mal intentionné
d'exécuter du code arbitraire à distance sur la machine vulnérable.
Solution
Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :
http://www.sendmail.org/8.13.6.html
Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :
ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0
ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0
Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).
Documentation
- Bulletin de sécurité Sendmail du 22 mars 2006 http://www.sendmail.com/company/advisory/index.shtml
- Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : http://www.us-cert.gov/cas/techalerts/TA06-081A.html
- Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : http://www.kb.cert.org/vuls/id/834865
- Bulletin de sécurité Avaya ASA-2006-074 du 24 mars 2006 : http://support.avaya.com/elmodocs2/security/ASA-2006-074.htm
- Bulletin de sécurité Avaya ASA-2006-078 du 12 avril 2006 : http://support.avaya.com/elmodocs2/security/ASA-2006-078.htm
- Bulletin de sécurité Debian DSA-1015 du 23 mars 2006 : http://www.debian.org/security/2006/dsa-1015
- Bulletin de sécurité FreeBSD SA-06:13.sendmail du 22 mars 2006 : ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc
- Bulletin de sécurité Gentoo GLSA-200603-21 du 22 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml
- Bulletin de sécurité HP-UX #c00629555 (HPSBUX02108 SSRT061133) du 25 mars 2006 : http://itrc.hp.com/service/cki/docDisplay.do?docId=c00629555
- Bulletin de sécurité IBM : http://www14.software.ibm.com/webapp/set2/sas/f/hmc/power5/install/v52.Readme.html#MH00688
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994
- Bulletin de sécurité IBM AIX du 23 mars 2006 : http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993
- Bulletin de sécurité ISS du 22 mars 2006 : http://xforce.iss.net/xforce/alerts/id/216
- Bulletin de sécurité Mandriva MDKSA-2006:058 du 22 mars 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058
- Bulletin de sécurité OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 : http://www.openbsd.org/errata38.html#sendmail
- Bulletin de sécurité OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 : http://www.openbsd.org/errata.html#sendmail
- Bulletin de sécurité RedHat RHSA-2006:0264 du 22 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0264.html
- Bulletin de sécurité RedHat RHSA-2006:0265 du 22 mars 2006 : http://rhn.redhat.com/errata/RHSA-2006-0265.html
- Bulletin de sécurité SUSE SuSE-SA:2006:017 du 22 mars 2006 : http://www.novell.com/linux/security/advisories/2006_17_sendmail.html
- Bulletin de sécurité Slackware SSA:2006-081-01 du 22 mars 2003 : http://slackware.com/security/viewer.php?l=slackware-security&y=2006&m=slackware-security.619600
- Bulletin de sécurité Sun Alerte #102262 du 22 mars 2006 : http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1
- Bulletin de sécurité de SGI du 4 avril 2006 : ftp://patches.sgi.com/support/free/security/advisories/20060302-01-P.asc
- Mises à jour de sécurité pour Fedora du 22 mars 2006 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/
- Mises à jour de sécurité pour Fedora du 22 mars 2006 : http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/
- Page Internet de la version 8.13.6 de Sendmail : http://www.sendmail.org/8.13.6.html
- Site Internet de Sendmail : http://www.sendmail.com
- Référence CVE CVE-2006-0058 https://www.cve.org/CVERecord?id=CVE-2006-0058