CERTA-2006-AVI-124
Vulnerability from certfr_avis

Une vulnérabilité dans le logiciel de messagerie Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.

Description

Sendmail est un logiciel de routage de messages électroniques (Mail Transport Agent ou MTA).
Une vulnérabilité dans la gestion de messages asynchrones par le logiciel Sendmail permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance sur la machine vulnérable.

Solution

Mettre à jour Sendmail en version 8.13.6. En plus de ce problème de sécurité, Sendmail version 8.13.6 corrige d'autres problèmes de sécurité et d'autres faiblesses dans le code. Sendmail 8.13.6 peut se télécharger à l'adresse suivante :

http://www.sendmail.org/8.13.6.html

Si la mise à jour de Sendmail en version 8.13.6 n'est paspossible, appliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs sont disponibles aux adresses suivantes :

ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0

ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0

Dans tous les cas, se référer au bulletin de sécurité del'éditeur pour l'obtention des correctifs (cf. sectionDocumentation).

None
Impacted products
Vendor Product Description
Sendmail sendmail Pour la branche 8.12.x, Sendmail version 8.12.11 et versions antérieures ;
Sendmail sendmail pour la branche 8.13.x, Sendmail version 8.13.5 et versions antérieures.
References
Bulletin de sécurité Sendmail du 22 mars 2006 None vendor-advisory
Mises à jour de sécurité pour Fedora du 22 mars 2006 : - other
Bulletin de sécurité Avaya ASA-2006-078 du 12 avril 2006 : - other
Bulletin de sécurité Debian DSA-1015 du 23 mars 2006 : - other
Bulletin de sécurité Gentoo GLSA-200603-21 du 22 mars 2006 : - other
Bulletin de sécurité Mandriva MDKSA-2006:058 du 22 mars 2006 : - other
Bulletin de sécurité OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 : - other
Bulletin de sécurité ISS du 22 mars 2006 : - other
Bulletin de sécurité IBM AIX du 23 mars 2006 : - other
Bulletin de sécurité Avaya ASA-2006-074 du 24 mars 2006 : - other
Bulletin de sécurité IBM AIX du 23 mars 2006 : - other
Site Internet de Sendmail : - other
Bulletin de sécurité RedHat RHSA-2006:0265 du 22 mars 2006 : - other
Bulletin de sécurité de SGI du 4 avril 2006 : - other
Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : - other
Bulletin de sécurité HP-UX #c00629555 (HPSBUX02108 SSRT061133) du 25 mars 2006 : - other
Bulletin de sécurité OpenBSD 3.8 et OpenBSD 3.9 pour sendmail du 25 mars 2006 : - other
Bulletin de sécurité RedHat RHSA-2006:0264 du 22 mars 2006 : - other
Bulletin de sécurité IBM AIX du 23 mars 2006 : - other
Page Internet de la version 8.13.6 de Sendmail : - other
Bulletin de sécurité IBM : - other
Bulletin de sécurité FreeBSD SA-06:13.sendmail du 22 mars 2006 : - other
Alerte de sécurité de l'US-CERT TA06-081A et VU#834865 du 22 mars 2006 : - other
Mises à jour de sécurité pour Fedora du 22 mars 2006 : - other
Bulletin de sécurité Sun Alerte #102262 du 22 mars 2006 : - other
Bulletin de sécurité Slackware SSA:2006-081-01 du 22 mars 2003 : - other
Bulletin de sécurité SUSE SuSE-SA:2006:017 du 22 mars 2006 : - other

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Pour la branche 8.12.x, Sendmail version 8.12.11 et versions ant\u00e9rieures ;",
      "product": {
        "name": "sendmail",
        "vendor": {
          "name": "Sendmail",
          "scada": false
        }
      }
    },
    {
      "description": "pour la branche 8.13.x, Sendmail version 8.13.5 et versions ant\u00e9rieures.",
      "product": {
        "name": "sendmail",
        "vendor": {
          "name": "Sendmail",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nSendmail est un logiciel de routage de messages \u00e9lectroniques (Mail\nTransport Agent ou MTA).  \nUne vuln\u00e9rabilit\u00e9 dans la gestion de messages asynchrones par le\nlogiciel Sendmail permet \u00e0 un utilisateur distant mal intentionn\u00e9\nd\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la machine vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour Sendmail en version 8.13.6. En plus de ce probl\u00e8me de\ns\u00e9curit\u00e9, Sendmail version 8.13.6 corrige d\u0027autres probl\u00e8mes de s\u00e9curit\u00e9\net d\u0027autres faiblesses dans le code. Sendmail 8.13.6 peut se t\u00e9l\u00e9charger\n\u00e0 l\u0027adresse suivante :\n\n    http://www.sendmail.org/8.13.6.html\n\nSi la mise \u00e0 jour de Sendmail en version 8.13.6 n\u0027est paspossible,\nappliquer les correctifs pour Sendmail 8.12.11 et 8.13.5.Les correctifs\nsont disponibles aux adresses suivantes :\n\n    ftp://ftp.sendmail.org/pub/sendmail/8.12.11.p0\n\n    ftp://ftp.sendmail.org/pub/sendmail/8.13.5.p0\n\nDans tous les cas, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 del\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. sectionDocumentation).\n",
  "cves": [
    {
      "name": "CVE-2006-0058",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-0058"
    }
  ],
  "initial_release_date": "2006-03-23T00:00:00",
  "last_revision_date": "2006-06-23T00:00:00",
  "links": [
    {
      "title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Avaya ASA-2006-078 du 12 avril 2006 :",
      "url": "http://support.avaya.com/elmodocs2/security/ASA-2006-078.htm"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1015 du 23 mars 2006 :",
      "url": "http://www.debian.org/security/2006/dsa-1015"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200603-21 du 22 mars 2006    :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200603-21.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:058 du 22 mars    2006 :",
      "url": "http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:058"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 OpenBSD 3.8 et OpenBSD 3.9 pour    sendmail du 25 mars 2006 :",
      "url": "http://www.openbsd.org/errata38.html#sendmail"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 ISS du 22 mars 2006 :",
      "url": "http://xforce.iss.net/xforce/alerts/id/216"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82992"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Avaya ASA-2006-074 du 24 mars 2006 :",
      "url": "http://support.avaya.com/elmodocs2/security/ASA-2006-074.htm"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82994"
    },
    {
      "title": "Site Internet de Sendmail :",
      "url": "http://www.sendmail.com"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0265 du 22 mars 2006    :",
      "url": "http://rhn.redhat.com/errata/RHSA-2006-0265.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de SGI du 4 avril 2006 :",
      "url": "ftp://patches.sgi.com/support/free/security/advisories/20060302-01-P.asc"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du    22 mars 2006 :",
      "url": "http://www.us-cert.gov/cas/techalerts/TA06-081A.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 HP-UX #c00629555 (HPSBUX02108    SSRT061133) du 25 mars 2006 :",
      "url": "http://itrc.hp.com/service/cki/docDisplay.do?docId=c00629555"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 OpenBSD 3.8 et OpenBSD 3.9 pour    sendmail du 25 mars 2006 :",
      "url": "http://www.openbsd.org/errata.html#sendmail"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0264 du 22 mars 2006    :",
      "url": "http://rhn.redhat.com/errata/RHSA-2006-0264.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM AIX du 23 mars 2006 :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=isg1IY82993"
    },
    {
      "title": "Page Internet de la version 8.13.6 de Sendmail :",
      "url": "http://www.sendmail.org/8.13.6.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM :",
      "url": "http://www14.software.ibm.com/webapp/set2/sas/f/hmc/power5/install/v52.Readme.html#MH00688"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD SA-06:13.sendmail du 22 mars    2006 :",
      "url": "ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc"
    },
    {
      "title": "Alerte de s\u00e9curit\u00e9 de l\u0027US-CERT TA06-081A et VU#834865 du    22 mars 2006 :",
      "url": "http://www.kb.cert.org/vuls/id/834865"
    },
    {
      "title": "Mises \u00e0 jour de s\u00e9curit\u00e9 pour Fedora du 22 mars 2006 :",
      "url": "http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Sun Alerte #102262 du 22 mars 2006 :",
      "url": "http://sunsolve.sun.com/search/document.do?assetKey=1-26-102262-1"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Slackware SSA:2006-081-01 du 22 mars    2003 :",
      "url": "http://slackware.com/security/viewer.php?l=slackware-security\u0026y=2006\u0026m=slackware-security.619600"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2006:017 du 22 mars 2006    :",
      "url": "http://www.novell.com/linux/security/advisories/2006_17_sendmail.html"
    }
  ],
  "reference": "CERTA-2006-AVI-124",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-03-23T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 OpenBSD et Avaya.",
      "revision_date": "2006-03-27T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SGI IRIX.",
      "revision_date": "2006-04-05T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Avaya.",
      "revision_date": "2006-04-18T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 IBM.",
      "revision_date": "2006-06-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans le logiciel de messagerie Sendmail permet \u00e0 un\nutilisateur distant mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Sendmail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Sendmail du 22 mars 2006",
      "url": "http://www.sendmail.com/company/advisory/index.shtml"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.