CERTA-2008-AVI-420

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités dans Postfix permettent à un utilisateur malveillant d'élever ses privilèges et de porter atteinte à l'intégrité et à la confidentialité de données.

Description

Le support des liens sur certains systèmes d'exploitation permet à un utilisateur malveillant de modifier des fichiers ne lui appartenant pas ou d'élever ses privilèges par la construction de liens et l'envoi de messages.

Un défaut de vérification des droits sur les boîtes aux lettres permet à un utilisateur malintentionné de lire des courriels qui ne lui sont pas destinés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Postfix dans les version suivantes :

  • branche 2.3, avant la version 2.3.15 ;
  • branche 2.4, avant la version 2.4.8 ;
  • branche 2.5, avant la version 2.5.4 ;
  • branche 2.6, avant la version 2.6-20080814.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003ePostfix dans les version suivantes :  \u003cUL\u003e    \u003cLI\u003ebranche 2.3, avant la version 2.3.15 ;\u003c/LI\u003e    \u003cLI\u003ebranche 2.4, avant la version 2.4.8 ;\u003c/LI\u003e    \u003cLI\u003ebranche 2.5, avant la version 2.5.4 ;\u003c/LI\u003e    \u003cLI\u003ebranche 2.6, avant la version 2.6-20080814.\u003c/LI\u003e  \u003c/UL\u003e\u003c/p\u003e",
  "content": "## Description\n\nLe support des liens sur certains syst\u00e8mes d\u0027exploitation permet \u00e0 un\nutilisateur malveillant de modifier des fichiers ne lui appartenant pas\nou d\u0027\u00e9lever ses privil\u00e8ges par la construction de liens et l\u0027envoi de\nmessages.\n\nUn d\u00e9faut de v\u00e9rification des droits sur les bo\u00eetes aux lettres permet \u00e0\nun utilisateur malintentionn\u00e9 de lire des courriels qui ne lui sont pas\ndestin\u00e9s.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2008-2937",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-2937"
    },
    {
      "name": "CVE-2008-2936",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-2936"
    }
  ],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008:0839 du 14 ao\u00fbt 2008    :",
      "url": "http://rhn.redhat.com/errata/RHSA-2008-0839.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200808-12 du 14 ao\u00fbt 2008    :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200808-12.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 OpenSuse SUSE-SA:2008:040 du 14 ao\u00fbt    2008 :",
      "url": "http://lists.opensuse-security-announce/2008-08/msg00002.html"
    }
  ],
  "reference": "CERTA-2008-AVI-420",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-08-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s dans Postfix permettent \u00e0 un utilisateur malveillant\nd\u0027\u00e9lever ses privil\u00e8ges et de porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9 et \u00e0 la\nconfidentialit\u00e9 de donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de Postfix",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "CVE-2008-2936 et CVE-2008-2937",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.