Bulletin d'alerte Debian

DLA-869-1 cgiemail -- Mise à jour de sécurité pour LTS

Date du rapport :
24 mars 2017
Paquets concernés :
cgiemail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 852031.
Dans le dictionnaire CVE du Mitre : CVE-2017-5613, CVE-2017-5614, CVE-2017-5615, CVE-2017-5616.
Plus de précisions :

L’équipe de sécurité de cPanel a découvert plusieurs vulnérabilités de sécurité dans cgiemail, un programme CGI utilisé pour créer des formulaires HTML pour l’envoi de courriels.

  • CVE-2017-5613

    Une vulnérabilité d’injection de chaîne de formatage permettait de fournir des chaînes de formatage arbitraires à cgiemail et cgiecho. Un attaquant local ayant la permission de fournir un modèle cgiemail pourrait utiliser cette vulnérabilité pour exécuter du code en tant qu’utilisateur du serveur web. Les chaînes de formatage dans les patrons cgiemail sont maintenant limitées à des séquences simples, %s, %U et %H.

  • CVE-2017-5614

    Une vulnérabilité de redirection ouverte dans les binaires cgiemail et cgiecho pourrait être exploitée par un attaquant local pour forcer la redirection vers une URL arbitraire. Ces redirections sont maintenant limitées au domaine gérant la requête.

  • CVE-2017-5615

    Une vulnérabilité dans les binaires cgiemail et cgiecho permettait une injection d’en-têtes HTTP supplémentaires. Les caractères de nouvelle ligne sont maintenant retirés de l’emplacement de redirection pour une protection contre cela.

  • CVE-2017-5616

    Une protection manquante du paramètre addendum conduit à une vulnérabilité de script intersite réfléchi (XSS) dans les binaires cgiemail et cgiecho. La sortie est protégée contre l’HTML.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.6-37+deb7u1.

Nous vous recommandons de mettre à jour vos paquets cgiemail.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.