CERTA-2006-ALE-003
Vulnerability from certfr_alerte

Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance. Le fort déploiement de Sendmail combiné à la gravité de la faille a conduit le CERTA à augmenter le niveau de vigilence au niveau d'alerte, en plus de l'avis CERTA-2006-AVI-124 publié la jeudi 23 mars 2006.
L'objectif de cette alerte est de sensibiliser les utilisateurs à la nécessité d'appliquer les correctifs en fonction des systèmes concernés.

Description

Sendmail est un logiciel de routage de messages électroniques (Mail Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le logiciel Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance sur la machine vulnérable.

Solution

Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :

http://www.sendmail.org/8.13.6.html

Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :

ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0

ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0

Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).

None
Impacted products
Vendor Product Description
Sendmail sendmail Pour la branche 8.12.x, Sendmail version 8.12.11 et versions antérieures ;
Sendmail sendmail pour la branche 8.13.x, Sendmail version 8.13.5 et versions antérieures.
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Pour la branche 8.12.x, Sendmail version 8.12.11 et versions ant\u00e9rieures ;",
      "product": {
        "name": "sendmail",
        "vendor": {
          "name": "Sendmail",
          "scada": false
        }
      }
    },
    {
      "description": "pour la branche 8.13.x, Sendmail version 8.13.5 et versions ant\u00e9rieures.",
      "product": {
        "name": "sendmail",
        "vendor": {
          "name": "Sendmail",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2006-03-24",
  "content": "## Description\n\nSendmail est un logiciel de routage de messages \u00e9lectroniques (Mail\nTransport Agent ou MTA).  \nUne vuln\u00e9rabilit\u00e9 dans la gestion de messages asynchrones par le\nlogiciel Sendmail permet \u00e0 un utilisateur distant mal intentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la machine vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour Sendmail en version 8.13.6. En plus de ce probl\u00e8me de\ns\u00e9curit\u00e9, Sendmail version 8.13.6 corrige d\u0027autres probl\u00e8mes de s\u00e9curit\u00e9\net d\u0027autres faiblesses dans le code. Sendmail 8.13.6 peut se t\u00e9l\u00e9charger\n\u00e0 l\u0027adresse suivante :\n\n    http://www.sendmail.org/8.13.6.html\n\nSi la mise \u00e0 jour de Sendmail en version 8.13.6 n\u0027est paspossible,\nappliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs\nsont disponibles aux adresses suivantes :\n\n    ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0\n\n    ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0\n\nDans tous les cas, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 del\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. sectionDocumentation).\n",
  "cves": [
    {
      "name": "CVE-2006-0058",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-0058"
    }
  ],
  "initial_release_date": "2006-03-24T00:00:00",
  "last_revision_date": "2006-03-24T00:00:00",
  "links": [
    {
      "title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du    22 mars 2006 :",
      "url": "http://www.kb.cert.org/vuls/id/834865"
    },
    {
      "title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200603-21 du 22 mars 2006    :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 ISS du 22 mars 2006 :",
      "url": "http://xforce.iss.net/xforce/alerts/id/216"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Slackware SSA:2006-081-01 du 22 mars    2003 :",
      "url": "http://slackware.com/security/viewer.php?l=slackware-security\u0026y=2006\u0026m=slackware-security.619600"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0264 du 22 mars 2006    :",
      "url": "http://rhn.redhat.com/errata/RHSA-2006-0264.html"
    },
    {
      "title": "Site Internet de Sendmail :",
      "url": "http://www.sendmail.com"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1015 du 23 mars 2006 :",
      "url": "http://www.debian.org/security/2006/dsa-1015"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:058 du 22 mars    2006 :",
      "url": "http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Sendmail du 22 mars 2006 :",
      "url": "http://www.sendmail.com/company/advisory/index.shtml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0265 du 22 mars 2006    :",
      "url": "http://rhn.redhat.com/errata/RHSA-2006-0265.html"
    },
    {
      "title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Sun Alerte #102262 du 22 mars 2006 :",
      "url": "http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1"
    },
    {
      "title": "Page Internet de la version 8.13.6 de Sendmail :",
      "url": "http://www.sendmail.org/8.13.6.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du    22 mars 2006 :",
      "url": "http://www.us-cert.gov/cas/techalerts/TA06-081A.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD SA-06:13.sendmail du 22 mars    2006 :",
      "url": "ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2006:017 du 22 mars 2006    :",
      "url": "http://www.novell.com/linux/security/advisories/2006_17_sendmail.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 CERTA-2006-AVI-124 du jeudi 23 mars    2006 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-124/index.html"
    }
  ],
  "reference": "CERTA-2006-ALE-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-03-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de messagerie Sendmail permet \u00e0 un\nutilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance. Le fort d\u00e9ploiement de Sendmail combin\u00e9 \u00e0 la gravit\u00e9 de la\nfaille a conduit le CERTA \u00e0 augmenter le niveau de vigilence au niveau\nd\u0027alerte, en plus de l\u0027avis CERTA-2006-AVI-124 publi\u00e9 la jeudi 23 mars\n2006.  \n\u003cspan class=\"textbf\"\u003eL\u0027objectif de cette alerte est de sensibiliser les\nutilisateurs \u00e0 la n\u00e9cessit\u00e9 d\u0027appliquer les correctifs en fonction des\nsyst\u00e8mes concern\u00e9s\u003c/span\u003e.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Sendmail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 du CERTA CERTA-2006-AVI-124 du 23 mars 2006",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.