Refine your search
3 vulnerabilities found for sendmail by sendmail
CERTA-2006-ALE-003
Vulnerability from certfr_alerte
Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un
utilisateur distant mal intentionné d'exécuter du code arbitraire à
distance. Le fort déploiement de Sendmail combiné à la gravité de la
faille a conduit le CERTA à augmenter le niveau de vigilence au niveau
d'alerte, en plus de l'avis CERTA-2006-AVI-124 publié la jeudi 23 mars
2006.
L'objectif de cette alerte est de sensibiliser les
utilisateurs à la nécessité d'appliquer les correctifs en fonction des
systèmes concernés.
Description
Sendmail est un logiciel de routage de messages électroniques (Mail
Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le
logiciel Sendmail permet à un utilisateur distant mal intentionné
d'exécuter du code arbitraire à distance sur la machine vulnérable.
Solution
Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :
http://www.sendmail.org/8.13.6.html
Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :
ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0
ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0
Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).
NoneImpacted products
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Pour la branche 8.12.x, Sendmail version 8.12.11 et versions ant\u00e9rieures ;",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
},
{
"description": "pour la branche 8.13.x, Sendmail version 8.13.5 et versions ant\u00e9rieures.",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2006-03-24",
"content": "## Description\n\nSendmail est un logiciel de routage de messages \u00e9lectroniques (Mail\nTransport Agent ou MTA). \nUne vuln\u00e9rabilit\u00e9 dans la gestion de messages asynchrones par le\nlogiciel Sendmail permet \u00e0 un utilisateur distant mal intentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la machine vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour Sendmail en version 8.13.6. En plus de ce probl\u00e8me de\ns\u00e9curit\u00e9, Sendmail version 8.13.6 corrige d\u0027autres probl\u00e8mes de s\u00e9curit\u00e9\net d\u0027autres faiblesses dans le code. Sendmail 8.13.6 peut se t\u00e9l\u00e9charger\n\u00e0 l\u0027adresse suivante :\n\n http://www.sendmail.org/8.13.6.html\n\nSi la mise \u00e0 jour de Sendmail en version 8.13.6 n\u0027est paspossible,\nappliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs\nsont disponibles aux adresses suivantes :\n\n ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0\n\n ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0\n\nDans tous les cas, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 del\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. sectionDocumentation).\n",
"cves": [
{
"name": "CVE-2006-0058",
"url": "https://www.cve.org/CVERecord?id=CVE-2006-0058"
}
],
"initial_release_date": "2006-03-24T00:00:00",
"last_revision_date": "2006-03-24T00:00:00",
"links": [
{
"title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du 22 mars 2006 :",
"url": "http://www.kb.cert.org/vuls/id/834865"
},
{
"title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
"url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200603-21 du 22 mars 2006 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 ISS du 22 mars 2006 :",
"url": "http://xforce.iss.net/xforce/alerts/id/216"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Slackware SSA:2006-081-01 du 22 mars 2003 :",
"url": "http://slackware.com/security/viewer.php?l=slackware-security\u0026y=2006\u0026m=slackware-security.619600"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0264 du 22 mars 2006 :",
"url": "http://rhn.redhat.com/errata/RHSA-2006-0264.html"
},
{
"title": "Site Internet de Sendmail :",
"url": "http://www.sendmail.com"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1015 du 23 mars 2006 :",
"url": "http://www.debian.org/security/2006/dsa-1015"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:058 du 22 mars 2006 :",
"url": "http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Sendmail du 22 mars 2006 :",
"url": "http://www.sendmail.com/company/advisory/index.shtml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0265 du 22 mars 2006 :",
"url": "http://rhn.redhat.com/errata/RHSA-2006-0265.html"
},
{
"title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
"url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun Alerte #102262 du 22 mars 2006 :",
"url": "http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1"
},
{
"title": "Page Internet de la version 8.13.6 de Sendmail :",
"url": "http://www.sendmail.org/8.13.6.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992"
},
{
"title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du 22 mars 2006 :",
"url": "http://www.us-cert.gov/cas/techalerts/TA06-081A.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD SA-06:13.sendmail du 22 mars 2006 :",
"url": "ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2006:017 du 22 mars 2006 :",
"url": "http://www.novell.com/linux/security/advisories/2006_17_sendmail.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 CERTA-2006-AVI-124 du jeudi 23 mars 2006 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-124/index.html"
}
],
"reference": "CERTA-2006-ALE-003",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-03-24T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de messagerie Sendmail permet \u00e0 un\nutilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance. Le fort d\u00e9ploiement de Sendmail combin\u00e9 \u00e0 la gravit\u00e9 de la\nfaille a conduit le CERTA \u00e0 augmenter le niveau de vigilence au niveau\nd\u0027alerte, en plus de l\u0027avis CERTA-2006-AVI-124 publi\u00e9 la jeudi 23 mars\n2006. \n\u003cspan class=\"textbf\"\u003eL\u0027objectif de cette alerte est de sensibiliser les\nutilisateurs \u00e0 la n\u00e9cessit\u00e9 d\u0027appliquer les correctifs en fonction des\nsyst\u00e8mes concern\u00e9s\u003c/span\u003e.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Sendmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 du CERTA CERTA-2006-AVI-124 du 23 mars 2006",
"url": null
}
]
}
CERTA-2006-AVI-124
Vulnerability from certfr_avis
Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Sendmail est un logiciel de routage de messages électroniques (Mail
Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le
logiciel Sendmail permet à un utilisateur distant mal intentionné
d'exécuter du code arbitraire à distance sur la machine vulnérable.
Solution
Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :
http://www.sendmail.org/8.13.6.html
Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :
ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0
ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0
Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Pour la branche 8.12.x, Sendmail version 8.12.11 et versions ant\u00e9rieures ;",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
},
{
"description": "pour la branche 8.13.x, Sendmail version 8.13.5 et versions ant\u00e9rieures.",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nSendmail est un logiciel de routage de messages \u00e9lectroniques (Mail\nTransport Agent ou MTA). \nUne vuln\u00e9rabilit\u00e9 dans la gestion de messages asynchrones par le\nlogiciel Sendmail permet \u00e0 un utilisateur distant mal intentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la machine vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour Sendmail en version 8.13.6. En plus de ce probl\u00e8me de\ns\u00e9curit\u00e9, Sendmail version 8.13.6 corrige d\u0027autres probl\u00e8mes de s\u00e9curit\u00e9\net d\u0027autres faiblesses dans le code. Sendmail 8.13.6 peut se t\u00e9l\u00e9charger\n\u00e0 l\u0027adresse suivante :\n\n http://www.sendmail.org/8.13.6.html\n\nSi la mise \u00e0 jour de Sendmail en version 8.13.6 n\u0027est paspossible,\nappliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs\nsont disponibles aux adresses suivantes :\n\n ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0\n\n ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0\n\nDans tous les cas, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 del\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. sectionDocumentation).\n",
"cves": [
{
"name": "CVE-2006-0058",
"url": "https://www.cve.org/CVERecord?id=CVE-2006-0058"
}
],
"initial_release_date": "2006-03-23T00:00:00",
"last_revision_date": "2006-06-23T00:00:00",
"links": [
{
"title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
"url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Avaya ASA-2006-078 du 12 avril 2006 :",
"url": "http://support.avaya.com/elmodocs2/security/ASA-2006-078.htm"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1015 du 23 mars 2006 :",
"url": "http://www.debian.org/security/2006/dsa-1015"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200603-21 du 22 mars 2006 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:058 du 22 mars 2006 :",
"url": "http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 :",
"url": "http://www.openbsd.org/errata38.html#sendmail"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 ISS du 22 mars 2006 :",
"url": "http://xforce.iss.net/xforce/alerts/id/216"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Avaya ASA-2006-074 du 24 mars 2006 :",
"url": "http://support.avaya.com/elmodocs2/security/ASA-2006-074.htm"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994"
},
{
"title": "Site Internet de Sendmail :",
"url": "http://www.sendmail.com"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0265 du 22 mars 2006 :",
"url": "http://rhn.redhat.com/errata/RHSA-2006-0265.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de SGI du 4 avril 2006 :",
"url": "ftp://patches.sgi.com/support/free/security/advisories/20060302-01-P.asc"
},
{
"title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du 22 mars 2006 :",
"url": "http://www.us-cert.gov/cas/techalerts/TA06-081A.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 HP-UX #c00629555 (HPSBUX02108 SSRT061133) du 25 mars 2006 :",
"url": "http://itrc.hp.com/service/cki/docDisplay.do?docId=c00629555"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 :",
"url": "http://www.openbsd.org/errata.html#sendmail"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0264 du 22 mars 2006 :",
"url": "http://rhn.redhat.com/errata/RHSA-2006-0264.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993"
},
{
"title": "Page Internet de la version 8.13.6 de Sendmail :",
"url": "http://www.sendmail.org/8.13.6.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM :",
"url": "http://www14.software.ibm.com/webapp/set2/sas/f/hmc/power5/install/v52.Readme.html#MH00688"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD SA-06:13.sendmail du 22 mars 2006 :",
"url": "ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc"
},
{
"title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du 22 mars 2006 :",
"url": "http://www.kb.cert.org/vuls/id/834865"
},
{
"title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
"url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Sun Alerte #102262 du 22 mars 2006 :",
"url": "http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Slackware SSA:2006-081-01 du 22 mars 2003 :",
"url": "http://slackware.com/security/viewer.php?l=slackware-security\u0026y=2006\u0026m=slackware-security.619600"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2006:017 du 22 mars 2006 :",
"url": "http://www.novell.com/linux/security/advisories/2006_17_sendmail.html"
}
],
"reference": "CERTA-2006-AVI-124",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2006-03-23T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 OpenBSD et Avaya.",
"revision_date": "2006-03-27T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SGI IRIX.",
"revision_date": "2006-04-05T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Avaya.",
"revision_date": "2006-04-18T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 IBM.",
"revision_date": "2006-06-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de messagerie Sendmail permet \u00e0 un\nutilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Sendmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Sendmail du 22 mars 2006",
"url": "http://www.sendmail.com/company/advisory/index.shtml"
}
]
}
CERTA-2004-AVI-328
Vulnerability from certfr_avis
None
Description
SASL (Simple Authentication and Security Layer) est un mécanisme permettant d'ajouter des fonctionnalités d'authentification à des protocoles réseau.
L'installation du packetage sasl-bin, pour intégrer SASL dans le
serveur de messagerie sendmail, emploie un compte possèdant un mot de
passe par défaut. Cette vulnérabilité peut permettre à un utilisateur
mal intentionné d'employer le serveur de messagerie comme relais ouvert
afin d'envoyer des méls non sollicités.
Solution
Appliquer le correctif fourni par l'éditeur (cf. Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Les versions de sendmail ant\u00e9rieures \u00e0 8.12.3-.71 avec la distribution Debian stable (woody) ;",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
},
{
"description": "les versions de sendmail ant\u00e9rieures \u00e0 8.13.1-.13 avec la distribution Debian unstable (sid).",
"product": {
"name": "sendmail",
"vendor": {
"name": "Sendmail",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nSASL (Simple Authentication and Security Layer) est un m\u00e9canisme\npermettant d\u0027ajouter des fonctionnalit\u00e9s d\u0027authentification \u00e0 des\nprotocoles r\u00e9seau.\n\nL\u0027installation du packetage `sasl-bin`, pour int\u00e9grer SASL dans le\nserveur de messagerie sendmail, emploie un compte poss\u00e8dant un mot de\npasse par d\u00e9faut. Cette vuln\u00e9rabilit\u00e9 peut permettre \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027employer le serveur de messagerie comme relais ouvert\nafin d\u0027envoyer des m\u00e9ls non sollicit\u00e9s.\n\n## Solution\n\nAppliquer le correctif fourni par l\u0027\u00e9diteur (cf. Documentation).\n",
"cves": [],
"initial_release_date": "2004-09-29T00:00:00",
"last_revision_date": "2004-09-29T00:00:00",
"links": [],
"reference": "CERTA-2004-AVI-328",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-09-29T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9 dans Sendmail avec SASL",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 DSA-554-1 de Debian",
"url": "http://www.debian.org/security/2004/dsa-554"
}
]
}