S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 07 août
2003
No CERTA-2003-AVI-135 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités du
serveur de messagerie Postfix
| Référence |
CERTA-2003-AVI-135 |
| Titre |
Vulnérabilités du serveur
de messagerie Postfix |
| Date de la première version |
07 août 2003 |
| Date de la dernière version |
- |
| Source(s) |
- |
| Pièce(s) jointe(s) |
Aucune |
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- balayage de ports par rebond («bounce
scanning»).
Tout système Unix utilisant Postfix, versions 1.1.12
et antérieures, comme serveur de messagerie.
Les versions courantes 2.x ne sont pas affectées.
Il est possible pour un utilisateur distant mal
intentionné de transmettre des messages volontairement
mal rédigés qui permettent :
- de suspendre le service de messagerie
(référence CVE CAN-2003-540) ;
- de tester tout port d'une adresse quelconque
(éventuel contournement de la protection du
réseau local par un pare-feu) ou d'utiliser le serveur
comme agent d'un réseau de déni de service
réparti (référence CVE
CAN-2003-0468).
Le code analysant les champs d'adresse («RCPT
TO», «MAIL FROM» ou «Errors-To»)
peut être détourné au profit d'un
utilisateur distant malveillant :
- pour les versions 1.1.9 à 1.1.12 et
antérieures à 1.1.9 avec l'option
«append_dot_mydomain» désactivée
(activée par défaut), le service peut
être suspendu jusqu'à l'effacement du ou des
messages par l'administrateur ;
- pour les versions 1.1.11 et antérieures, le
serveur peut tenter de se connecter à une adresse et
un port arbitraire.
- 07 août 2003
- version initiale.
CERTA
2012-01-04
|
)
