Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Postfix SMTP Server avec authentification SASL activée.
Résumé
Une vulnérabilité dans Postfix permet à un utilisateur malveillant de provoquer un déni de service à distance.
La possibilité d'exécuter du code à distance n'est pas exclue.
Description
Lorsqu'un serveur SMTP Postfix utilise SASL, un défaut de gestion de l'authentification en fonction des connexions SMTP permet à un utilisateur malveillant de provoquer une corruption de la mémoire. Celle-ci provoque un arrêt inopiné du serveur. Il n'est pas exclu que l'attaquant puisse exécuter du code à distance avec les droits du compte système sous lequel le serveur SMTP s'exécute.
Solution
Les versions 2.5.13, 2.6.10, 2.7.4 et 2.8.3 du serveur SMTP Postfix corrigent ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Postfix CVE-2011-1720 du 08 mai 2011 http://www.postfix.org/CVE-2011-1720.html
- Bulletin de sécurité Fedora FEDORA-2011-6771 du 17 mai 2011 (posftix-2.7.4-1.fc14) : http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060216.html
- Bulletin de sécurité Fedora FEDORA-2011-6777 du 17 mai 2011 (postfix-2.7.4-1.fc13) : http://lists.fedoraproject.org/pipermail/package-announce/2011-May/060215.html
- Référence CVE CVE-2011-1720 https://www.cve.org/CVERecord?id=CVE-2011-1720
