certfr_avis - CERTA-2001-AVI-162

CERTA-2001-AVI-162

Vulnerability from certfr_avis - Published: - Updated:

Postfix est un des candidats, avec Qmail, au remplacement sécurisé du serveur SMTP Sendmail sur les systèmes Unix. Une erreur dans le code du serveur permettrait à un utilisateur mal intentionné de réaliser un déni de service à travers une simple connexion.

Description

Le serveur enregistre, afin de tracer les bogues, une copie des dialogues SMTP. Selon la configuration, celle-ci peut être envoyée à l'administrateur en cas d'erreur durant la session. Aucune limite n'est imposée à cet enregistrement, ce qui rend le serveur vulnérable à une attaque par saturation de ses ressources mémoires.

Solution

Mettre à jour le serveur.

Sources

ftp://ftp.porcupine.org/mirrors/postfix-release/index.html

Linux Mandrake

http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-089.php3

Linux Red Hat

http://archives.neohapsis.com/archives/bugtraq/2001-11/0239.html

Debian

http://www.debian.org/security/2001/dsa-093

Conectiva Linux

http://distro.conectiva.com/atualizacoes/?id=a&anuncio=000439

Tout système Unix utilisant Postfix comme serveur de messagerie SMTP.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Développeur du programme	None	vendor-advisory
Message de Wietse Venema dans la liste de diffusion BugTraq	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me Unix utilisant Postfix comme serveur de  messagerie SMTP.\u003c/P\u003e",
  "content": "## Description\n\nLe serveur enregistre, afin de tracer les bogues, une copie des\ndialogues SMTP. Selon la configuration, celle-ci peut \u00eatre envoy\u00e9e \u00e0\nl\u0027administrateur en cas d\u0027erreur durant la session. Aucune limite n\u0027est\nimpos\u00e9e \u00e0 cet enregistrement, ce qui rend le serveur vuln\u00e9rable \u00e0 une\nattaque par saturation de ses ressources m\u00e9moires.\n\n## Solution\n\nMettre \u00e0 jour le serveur.\n\n-   Sources\n\n        ftp://ftp.porcupine.org/mirrors/postfix-release/index.html\n\n-   Linux Mandrake\n\n        http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-089.php3\n\n-   Linux Red Hat\n\n        http://archives.neohapsis.com/archives/bugtraq/2001-11/0239.html\n\n-   Debian\n\n        http://www.debian.org/security/2001/dsa-093\n\n-   Conectiva Linux\n\n        http://distro.conectiva.com/atualizacoes/?id=a\u0026anuncio=000439\n",
  "cves": [],
  "links": [
    {
      "title": "Message de Wietse Venema dans la liste de diffusion BugTraq",
      "url": "http://archives.neohapsis.com/archives/bugtraq/2001-11/0107.html"
    }
  ],
  "reference": "CERTA-2001-AVI-162",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-12-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service sur le serveur de messagerie par \u00e9puisement de la m\u00e9moire disponible"
    }
  ],
  "summary": "Postfix est un des candidats, avec Qmail, au remplacement s\u00e9curis\u00e9 du\nserveur SMTP Sendmail sur les syst\u00e8mes Unix. Une erreur dans le code du\nserveur permettrait \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser un d\u00e9ni\nde service \u00e0 travers une simple connexion.\n",
  "title": "D\u00e9ni de service potentiel de Postfix",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "D\u00e9veloppeur du programme",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted