Informations de sécurité / 2003 / Informations sur la sécurité -- DSA-384-1 sendmail

Bulletin d'alerte Debian

DSA-384-1 sendmail -- Dépassements de tampon

Date du rapport :

17 septembre 2003

Paquets concernés :

sendmail

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8641, Identifiant BugTraq 8649.
Dans le dictionnaire CVE du Mitre : CVE-2003-0681, CVE-2003-0694.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : CA-2003-25.

Plus de précisions :

Deux vulnérabilités dans sendmail ont été signalées.

• CAN-2003-0681 :

  Un « dépassement de tampon potentiel dans le parcours de l'ensemble des règles » pour Sendmail 8.12.9, lorsqu'on utilise un des jeux de règles suivants : non standard (1), final (4), destinataire (2) ou spécifique au destinataire (3) pourrait avoir des conséquences imprévisibles.

• CAN-2003-0694 :

  La fonction prescan dans Sendmail 8.12.9 permet à des attaquants à distance d'exécuter du code arbitraire via une attaque par dépassement de tampon, comme cela a été démontré en utilisant la fonction parseaddr dans parseaddr.c.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans sendmail version 8.12.3-6.6 et dans sendmail-wide version 8.12.3+3.5Wbeta-5.5.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans sendmail version 8.12.10-1.

Nous vous recommandons de mettre à jour votre paquet sendmail.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6.dsc

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6.diff.gz

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3.orig.tar.gz

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5.dsc

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5.diff.gz

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/s/sendmail/sendmail-doc_8.12.3-6.6_all.deb

Alpha:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_alpha.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_alpha.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_arm.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_arm.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_i386.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_i386.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_ia64.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_ia64.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_hppa.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_hppa.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_m68k.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_m68k.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_mips.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_mips.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_mipsel.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_mipsel.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_powerpc.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_powerpc.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_s390.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_s390.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-6.6_sparc.deb

http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-6.6_sparc.deb

http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.5_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.