Bonsoir, Tout le monde est sans doute au courant depuis longtemps, mais pour ceux d'entre nous qui g�rent des serveurs de mails via sendmail, il semble qu'il soit imp�ratif d'upgrader au plus vite.
Voici des explications du CERT-Renater: Un trou de securite critique a ete mis au jour dans le code du programme Sendmail. Cette vulnerabilite pourrait etre exploitee par un attaquant distant pour obtenir les droits de l'utilisateur privilegie du systeme (root). Cette vulnerabilite intervient lors du traitement de certains champs de l'en tete de message. Les champs les plus exposes a etre utilises pour l'exploitation de cette vulnerabilite sont particulierement ceux qui contiennent des listes d'adresses email comme les champs "From" (expediteur), "To" (destinataire) ou "CC" (destinataires en copie). L'attaque pourrait donc simplement consister a envoyer un message commodement construit au serveur cible. Cette vulnerabilite a ete testee sur des architectures x86 (PC) et pourrait etre exploitable egalement sous d'autres architectures. Les protections de type pile "non-executable" ne permettraient pas, semble-t-il, de se premunir d'une attaque sur cette vulnerabilite. Les versions vulnerables de Sendmail sont les versions 5.79 a 8.12.7. Il est fortement conseille de passer a la version 8.12.8 de Sendmail ou d'appliquer les correctifs de securite mis a disposition par vos editeurs de logiciels/systemes. Avis et correctifs disponibles: ----------------------------- "Sendmail 8.12.8" http://www.sendmail.org/8.12.8.html "Sendmail Security Alert" http://www.sendmail.com/security/ "CERT� Advisory CA-2003-07 Remote Buffer Overflow in Sendmail" http://www.cert.org/advisories/CA-2003-07.html "FreeBSD: sendmail header parsing buffer overflow" ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03%3A04.sendmail.asc OpenBSD http://www.openbsd.org/errata.html#sendmail "RedHat: Updated sendmail packages fix critical security issues" https://rhn.redhat.com/errata/RHSA-2003-073.html Mandrake http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:028 SuSE http://www.securityfocus.com/advisories/5042 http://www.suse.de/en/security Conectiva http://www.securityfocus.com/advisories/5045 "IBM: Sendmail buffer overflow vulnerability in AIX" http://www-1.ibm.com/services/continuity/recover1.nsf/MSS/MSS-OAR-E01-2003.0250.1 "HP: HP Tru64 UNIX, HP-UX, sendmail Potential Security Vulnerability" http://www-1.ibm.com/services/continuity/recover1.nsf/MSS/MSS-OAR-E01-2003.0257.1 ftp://ftp1.support.compaq.com/public/unix/ "Sun: sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases" http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/51181 "SGI: Mail Header Buffer Overflow In Sendmail" ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P ====================================================================== ========================================================= Les serveurs de r�f�rence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= -- Jean-Marc Sac-Ep�e, Ing�nieur de Recherches, Laboratoire de Math�matiques, Universit� de Metz, T�l 03 87 54 72 69 Fax 03 87 31 52 73 mail [EMAIL PROTECTED]
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
