CERTA-2004-AVI-132

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités présentes dans le paquetage SSMTP 2.x permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de réaliser un déni de service à distance.

Description

Deux vulnérabilités de type chaîne de format sont présentes dans les fonctions die() et log_event() dans le paquetage SSMTP.

Un utilisateur mal intentionné peut, via une chaîne malicieusement construite dans certains paramètres, réaliser un déni de service ou exécuter du code arbitraire sur le système ayant une version de SSMTP vulnérable.

Solution

Appliquer le correctif (cf. section documentation).

SSMTP 2.x.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cTT\u003eSSMTP 2.x\u003c/TT\u003e.",
  "content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s de type cha\u00eene de format sont pr\u00e9sentes dans les\nfonctions die() et log_event() dans le paquetage SSMTP.\n\nUn utilisateur mal intentionn\u00e9 peut, via une cha\u00eene malicieusement\nconstruite dans certains param\u00e8tres, r\u00e9aliser un d\u00e9ni de service ou\nex\u00e9cuter du code arbitraire sur le syst\u00e8me ayant une version de SSMTP\nvuln\u00e9rable.\n\n## Solution\n\nAppliquer le correctif (cf. section documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de Gentoo :",
      "url": "http://security.gentoo.org/glsa/glsa-200404-18.xml"
    }
  ],
  "reference": "CERTA-2004-AVI-132",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-04-16T00:00:00.000000"
    },
    {
      "description": "ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Gentoo.",
      "revision_date": "2004-04-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans le paquetage SSMTP 2.x permettent \u00e0\nun utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire ou de\nr\u00e9aliser un d\u00e9ni de service \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans SSMTP",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Debian",
      "url": "http://www.debian.org/security/2004/dsa-485"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.