S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 novembre 2003
N^o CERTA-2003-AVI-190-002

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans HylaFAX

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-190

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2003-AVI-190-002
Titre	Vulnérabilité dans HylaFAX
Date de la première version	12 novembre 2003
Date de la dernière version	21 novembre 2003
Source(s)	Avis de sécurité SuSE SuSE-SA:2003:045
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

SuSE Linux versions 9.0 et antérieures ;
SuSE Linux Enterprise Server 7 ;
SuSE Linux Standard Server 8 ;
SuSE Linux Desktop 1.0 ;
SuSE Linux Office Server ;
Mandrake Linux versions 9.2 et antérieures ;
Mandrake Linux Corporate Server 2.1 ;
Debian Linux Woody et Sid ;
Gentoo Linux.

3 Résumé

Une vulnérabilité dans le serveur HylaFAX permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

4 Description

HylaFAX est un serveur de Fax. Une vulnérabilité dans le serveur hfaxd permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits du super-utilisateur root.

5 Solution

Mettre à jour HylaFAX selon le système concerné (cf. section Documentation).

6 Documentation

Site de HylaFAX :
```
http://www.hylafax.org
```

Référence CVE CAN-2003-0886 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0886

Avis de sécurité SuSE-SA:2003:045 :

http://www.suse.de/de/security/2003_045_hylafax.html

Avis de sécurité Mandrake MDKSA-2003:105 :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:105

Avis de sécurité Debian DSA-401-1 :

http://www.debian.org/security/2003/dsa-401

Avis de sécurité Gentoo GLSA:200311-03 :

http://www.securityfocus.com/archive/1/345066/2003-11-18/2003-11-24/0

Gestion détaillée du document

12 novembre 2003: version initiale.
17 novembre 2003: ajout du bulletin de sécurité Debian.
21 novembre 2003: ajout du bulletin de sécurité Gentoo.

CERTA
2012-01-04