| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
avis de vulnérabilité CVE-2010-1132
SpamAssassin Milter : exécution de commande
Synthèse de la vulnérabilité
| Lorsque SpamAssassin Milter étend les adresses email, un attaquant distant peut faire exécuter des commandes sur le système. |
Gravité : 3/4.
Date création : 08/03/2010.
Date révision : 16/03/2010.
|
Description de la vulnérabilité
Le programme SpamAssassin Milter peut être installé avec Sendmail/Postfix, pour transférer les emails vers SpamAssassin.
L'option "-x" de spamass-milter demande l'expansion des adresses email, en lisant la table des alias par exemple. Pour vérifier la validité d'une adresse email, et obtenir la liste de alias, SpamAssassin Milter exécute via popen() :
sendmail -bv "email@serveur.dom"
Cependant, l'adresse email n'est pas filtrée avant d'être injectée dans cette commande. Un attaquant peut donc utiliser une adresse email contenant un caractère d'échappement shell, afin d'exécuter une commande shell.
Lorsque SpamAssassin Milter étend les adresses email, un attaquant distant peut ainsi faire exécuter des commandes sur le système. |
Bulletin Vigil@nce complet
Caractéristiques
Titre : SpamAssassin Milter : exécution de commande.
Mots clés : Milter Postfix Sendmail SpamAssassin commande exécution.
Références : BID-38578, CVE-2010-1132, DSA 2021-1, DSA 2021-2, FEDORA-2010-5096, FEDORA-2010-5112, FEDORA-2010-5176, VIGILANCE-VUL-9504.
|
Sources d'information
Solutions pour cette vulnérabilité
Compléments
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Alertes de vulnérabilité sécurité
|
