Bulletin d'alerte Debian

DSA-257-1 sendmail -- Exploitation à distance

Date du rapport :
4 mars 2003
Paquets concernés :
sendmail, sendmail-wide
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-1337.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : CA-2003-07, VU#398025.
Plus de précisions :

Mark Dowd de ISS X-Force a trouvé un bogue dans les routines analysant les en-têtes de sendmail : il pouvait dépasser un tampon quand elles rencontraient des adresses avec de très longs commentaires. Vu que sendmail analyse aussi les en-têtes quand il fait suivre des courriels cette faille de sécurité peut aussi toucher les serveurs qui ne délivrent pas le courriel.

Ceci a été corrigé dans la version originale 8.12.8, dans la version 8.12.3-5 du paquet pour Debian GNU/Linux 3.0/Woody et dans la version 8.9.3-25 du paquet pour Debian GNU/Linux 2.2/Potato.

DSA-257-2 : Des paquets mis à jour de sendmail-wide sont disponibles dans la version 8.9.3+3.2W-24 pour Debian 2.2 (Potato) et dans la version 8.12.3+3.5Wbeta-5.2 pour Debian 3.0 (Woody).

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25.diff.gz
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25.dsc
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3.orig.tar.gz
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24.dsc
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24.tar.gz
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_alpha.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_arm.deb
--
i386 (Intel IA-32):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_i386.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_i386.deb
m68k (Motorola 680x0):
--
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_powerpc.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_sparc.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5.diff.gz
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5.dsc
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3.orig.tar.gz
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2.dsc
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta.orig.tar.gz
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/sendmail/sendmail-doc_8.12.3-5_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_alpha.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_alpha.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_alpha.deb
arm (ARM):
--
--
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_hppa.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_hppa.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_hppa.deb
i386 (Intel IA-32):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_i386.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_i386.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_i386.deb
ia64 (Intel IA-64):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_ia64.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_ia64.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_ia64.deb
m68k (Motorola 680x0):
--
--
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_mips.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_mips.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_mipsel.deb
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_mipsel.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_powerpc.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_powerpc.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_s390.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_s390.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_sparc.deb
http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_sparc.deb
http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité. (DSA-257-2)