CERTA-2002-AVI-140

Vulnerability from certfr_avis - Published: - Updated:

Un débordement de mémoire peut aboutir à l'exécution de code arbitraire ou à un déni de service.

Description

Sendmail est une application permettant l'envoi de courrier électronique sur l'Internet. Selon la configuration de cette application, un utilisateur mal intentionné peut exécuter du code arbitraire sur le serveur avec les privilèges de l'utilisateur ayant lancé le service (généralement root). Ceci peut conduire à un déni de service. Cette vulnérabilité ne peut se produire que si le service Sendmail est configuré pour utiliser une table DNS au format TXT et si l'utilisateur mal intentionné contrôle un serveur DNS.

Solution

La version 8.12.5 de Sendmail corrige cette vulnérabilité. Elle est disponible en téléchargement sur le site web de Sendmail (cf. Documentation).

Toutes les versions de Sendmail antérieures à la version 8.12.5.

Impacted products
Vendor Product Description
References
Site Internet de Sendmail None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToutes les versions de Sendmail  ant\u00e9rieures \u00e0 la version 8.12.5.\u003c/p\u003e",
  "content": "## Description\n\nSendmail est une application permettant l\u0027envoi de courrier \u00e9lectronique\nsur l\u0027Internet. Selon la configuration de cette application, un\nutilisateur mal intentionn\u00e9 peut ex\u00e9cuter du code arbitraire sur le\nserveur avec les privil\u00e8ges de l\u0027utilisateur ayant lanc\u00e9 le service\n(g\u00e9n\u00e9ralement `root`). Ceci peut conduire \u00e0 un d\u00e9ni de service. Cette\nvuln\u00e9rabilit\u00e9 ne peut se produire que si le service Sendmail est\nconfigur\u00e9 pour utiliser une table DNS au format TXT et si l\u0027utilisateur\nmal intentionn\u00e9 contr\u00f4le un serveur DNS.\n\n## Solution\n\nLa version 8.12.5 de Sendmail corrige cette vuln\u00e9rabilit\u00e9. Elle est\ndisponible en t\u00e9l\u00e9chargement sur le site web de Sendmail (cf.\nDocumentation).\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-140",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-06-28T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Un d\u00e9bordement de m\u00e9moire peut aboutir \u00e0 l\u0027ex\u00e9cution de code arbitraire\nou \u00e0 un d\u00e9ni de service.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Sendmail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Site Internet de Sendmail",
      "url": "http://www.sendmail.org/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.