Bulletin d'alerte Debian

DLA-2234-1 netqmail -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juin 2020
Paquets concernés :
netqmail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 961060.
Dans le dictionnaire CVE du Mitre : CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812.
Plus de précisions :

Plusieurs bogues CVE concernant src:netqmail ont été signalés.

  • CVE-2005-1513

    Un dépassement d'entier dans la fonction stralloc_readyplus dans qmail, lors d’une exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, d’exécuter du code arbitraire à l'aide d'une requête SMTP importante.

  • CVE-2005-1514

    La fonction commands.c dans qmail, lors d’une exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, d’exécuter du code arbitraire à l'aide d'une longue commande SMTP sans caractère espace, faisant qu’un tableau soit référencé avec un indice négatif.

  • CVE-2005-1515

    Une erreur d’entiers signés dans les fonctions qmail_put et substdio_put dans qmail, lors d’une exécution sur une plateforme 64 bits avec une grande utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer un déni de service et, éventuellement, d’exécuter du code arbitraire à l'aide d'un grand nombre de commandes SMTP RCPT TO.

  • CVE-2020-3811

    La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à une vulnérabilité de contournement de vérification d’adresse de courriel.

  • CVE-2020-3812

    La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à une vulnérabilité de divulgation d'informations. Un attaquant local peut tester l’existence des fichiers et répertoires dans tout le système de fichiers car qmail-verify est exécutée en tant qu’administrateur et teste l’existence de fichiers dans le répertoire utilisateur « home » de l’attaquant, sans diminuer d’abord ses privilèges.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.06-6.2~deb8u1.

Nous vous recommandons de mettre à jour vos paquets netqmail.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.