Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- Clearswift MAILsweeper 4.x pour Microsoft Exchange 2000 ;
- Clearswift MAILsweeper 4.x pour SMTP.
Résumé
Plusieurs vulnérabilités découvertes dans MAILsweeper permettent à un utilisateur mal intentionné de contourner la politique de sécurité ou de provoquer un déni de service à distance.
Description
L'application MAILsweeper de Clearswift analyse les courriers électroniques entrants.
- Une vulnérabilité dans la gestion de certains messages permet à une personne malveillante, au moyen d'un message électronique astucieusement formé de contourner la politique de sécurité du système et de passer outre la vérification du message ;
- une vulnérabilité dans le traitement des requêtes de résolution de nom inverse peut être exploitée par un utilisateur malveillant au moyen d'un message électronique astucieusement construit afin de provoquer un déni de service ;
- une erreur dans le traitement des messages électroniques malformées permet à un individu mal intentionné de provoquer forcer l'arrêt du service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité mimesweeper du 21 juin 2006 http://download.mimesweeper.com/www/TechnicalDocumentation/ReadMe_MSW_4.3.20.htm
- Site internet de l'éditeur : http://www.clearswift.com/