Risque
- Exécution de code arbitraire ;
- élévation de privilèges.
Systèmes affectés
Les versions de Xmail antérieures à 1.22.
Se reporter au bulletin des vendeurs pour la liste exhaustive des versions affectées connues.
Description
Xmail est un serveur qui met en œuvre les protocoles ESMTP et POP3.
Cette application a une vulnérabilité de type débordement de variable. Cette vulnérabilité permettrait l'exécution de code malveillant avec les droits du groupe mail.
Le savoir-faire pour exploiter cette vulnérabilité a été publié. Il suffit de soumettre à Xmail une adresse de messagerie astucieusement construite.
Solution
Appliquer le correctif. La version 1.22 de Xmail corrige cette vulnérabilité. Des mises à jours spécifiques sous forme de paquetages sont fournies par les différents vendeurs de distributions.
Documentation
- CVE :
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2943
; - Avis de sécurité Debian :
http://www.debian.org/security/2005/dsa-902
; - Avis Gentoo :
http://www.gentoo.com/security/en/glsa/glsa-200512-05.xml