S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 août 2008
N° CERTA-2008-AVI-420
Affaire suivie par: CERT-FR
le 19 août 2008

Avis du CERT-FR

Objet: Vulnérabilités de Postfix

Gestion du document

Référence CERTA-2008-AVI-420
Titre Vulnérabilités de Postfix
Date de la première version 19 août 2008
Date de la dernière version 19 août 2008
Source(s) CVE-2008-2936 et CVE-2008-2937
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • élévation de privilèges.

Systèmes affectés

Postfix dans les version suivantes :

  • branche 2.3, avant la version 2.3.15 ;
  • branche 2.4, avant la version 2.4.8 ;
  • branche 2.5, avant la version 2.5.4 ;
  • branche 2.6, avant la version 2.6-20080814.

Résumé

Deux vulnérabilités dans Postfix permettent à un utilisateur malveillant d'élever ses privilèges et de porter atteinte à l'intégrité et à la confidentialité de données.

Description

Le support des liens sur certains systèmes d'exploitation permet à un utilisateur malveillant de modifier des fichiers ne lui appartenant pas ou d'élever ses privilèges par la construction de liens et l'envoi de messages.

Un défaut de vérification des droits sur les boîtes aux lettres permet à un utilisateur malintentionné de lire des courriels qui ne lui sont pas destinés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 août 2008
    version initiale.