L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MAILsweeper

vulnérabilité CVE-2006-3215 CVE-2006-3216

MAILsweeper : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut contourner l'analyse MAILsweeper, ou mener un déni de service.
Produits concernés : MAILsweeper.
Gravité : 1/4.
Conséquences : transit de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 21/06/2006.
Références : BID-18584, CVE-2006-3215, CVE-2006-3216, VIGILANCE-VUL-5940.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été corrigées dans MAILsweeper for SMTP.

Un attaquant peut créer message spécifiant un character set invalide afin de contourner l'analyse.

Un attaquant peut mettre en place un serveur DNS retournant des caractères non ASCII, ou envoyer un message contenant des caractères non ASCII dans les entêtes Received, afin de stopper le service de réception. L'explication de l'annonce n'est pas suffisamment explicite pour nous permettre de déterminer laquelle de ces deux méthodes l'attaquant doit utiliser.

Un message illicite peut stopper le service Security.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2004-2220 CVE-2004-2442

Non détection d'archives non sûres

Synthèse de la vulnérabilité

Les fichiers ZIP protégés par mot de passe ou ayant plusieurs niveaux d'imbrication ne sont pas toujours détectés comme étant non sûrs.
Produits concernés : MAILsweeper, F-Secure AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 04/11/2004.
Dates révisions : 12/11/2004, 24/11/2004.
Références : BID-11600, BID-11669, BID-11732, CVE-2004-2220, CVE-2004-2442, V6-FSECUREAVZIPPWD, VIGILANCE-VUL-4495.

Description de la vulnérabilité

L'antivirus ne détecte pas correctement certains fichiers potentiellement dangereux.

Certains virus utilisent des fichiers ZIP protégés par mot de passe et fournissent le mot de passe pour les ouvrir. L'antivirus peut classer les fichiers comme "non sûrs". Cependant, l'antivirus ne détecte pas certains fichiers protégés par un mot de passe.

De même, l'administrateur peut choisir de mettre en quarantaine les fichiers compressés ayant plusieurs niveaux d'imbrication. Cependant ils ne sont pas mis en quarantaine. Ce problème ne concerne que F-Secure Anti-virus.

Ainsi, un attaquant peut créer un message qui ne sera pas détecté comme étant potentiellement dangereux.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2004-0183 CVE-2004-0184

Déni de service de tcpdump

Synthèse de la vulnérabilité

En créant des paquets ISAKMP illicites, un attaquant distant peut stopper tcpdump.
Produits concernés : MAILsweeper, Debian, Fedora, F-Secure AV, Mandriva Linux, RHEL, RedHat Linux, Slackware, tcpdump, TurboLinux, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 31/03/2004.
Dates révisions : 06/04/2004, 07/04/2004, 13/04/2004, 15/04/2004, 19/04/2004, 21/05/2004, 26/05/2004, 28/05/2004, 22/06/2004, 30/08/2004, 30/09/2004.
Références : 20040602-01-U, 20040603-01-U, BID-10003, BID-10004, CERTA-2004-AVI-106, CIAC O-113, CVE-2004-0183, CVE-2004-0184, DSA-478, DSA-478-1, FEDORA-2004-120, FLSA-1468, FLSA:1468, MDKSA-2004:030, O-113, RHSA-2004:219, SGI 20040602, SGI 20040603, SSA:2004-108-01, TLSA-2004-16, V6-UNIXTCPDUMPISAKMP, VIGILANCE-VUL-4088, VU#240790, VU#492558.

Description de la vulnérabilité

Le programme tcpdump intercepte des trames réseau. Seul l'administrateur est autorisé à employer cette commande.
 
Le protocole ISAKMP (Internet Security Association and Key Management Protocol) gère les clés nécessaires aux échanges de données authentifiés et chiffrés.

Le programme tcpdump ne gère pas correctement les paquets ISAKMP lorsque l'affichage verbose est activé :
 - un paquet Delete avec de nombreux SPI provoque une lecture à une adresse non initialisée
 - un paquet Identification avec un champ de valeur trop faible provoque une erreur de calcul d'entier

Ces deux vulnérabilités conduisent à l'arrêt de tcpdump.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique 4405

Analyse incorrecte de message MIME

Synthèse de la vulnérabilité

Certains messages MIME sont incorrectement analysés par MAILsweeper.
Produits concernés : MAILsweeper.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Date création : 20/09/2004.
Références : V6-MAILSWEEPERMIME2V, VIGILANCE-VUL-4405.

Description de la vulnérabilité

Le format MIME permet de regrouper plusieurs documents dans un même email. Un courrier comportant du texte et une image possède la forme suivante (lignes vides supprimées) :
 MIME-Version: 1.0
 Content-Type: multipart/Mixed; boundary="SEPARATEUR"
 --SEPARATEUR
 Content-Type: text/plain; charset="iso-8859-1"
 Content-Transfer-Encoding: 7bit
 ICI LE TEXTE
  --SEPARATEUR
 Content-Type: image/gif;
 Content-Transfer-Encoding: base64
 ICI LE CONTENU DE L'IMAGE EN BASE64
 --SEPARATEUR--

Si le dernier séparateur est absent, le mail n'est pas correctement analysé par MAILsweeper. De plus, le type de fichier n'est pas toujours reconnu.

Ces vulnérabilités perturbent donc la détection d'email illicites.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2003-0928 CVE-2003-0929 CVE-2003-0930

Gestion incorrecte de certains formats de fichier

Synthèse de la vulnérabilité

Certains formats de fichier peuvent conduire à un déni de service ou à l'absence de détection d'un virus.
Produits concernés : MAILsweeper.
Gravité : 2/4.
Conséquences : création/modification de données, déni de service du service.
Provenance : serveur internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 13/08/2004.
Date révision : 16/08/2004.
Références : BID-10937, BID-10940, CVE-2003-0928, CVE-2003-0929, CVE-2003-0930, V6-MAILSWEEPERBADFMT, VIGILANCE-VUL-4332.

Description de la vulnérabilité

MAILsweeper for SMTP n'analyse pas correctement certains cas particuliers de formats de fichier :
 - TAR
 - GZIP
 - LHA
 - BinHex
En effet, ils sont classés "non déterminé" au lieu d'être décodés et analysés.

De plus, un fichier Microsoft PowerPoint corrompu peut provoquer une boucle infinie lors de l'analyse.

Un attaquant peut donc employer des fichiers illicites afin de faire transiter un virus, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2004-0234 CVE-2004-0235

Multiples vulnérabilités de lha

Synthèse de la vulnérabilité

Un attaquant peut utiliser plusieurs vulnérabilités de lha pour faire exécuter du code ou pour déposer des fichiers sur la machine de l'utilisateur.
Produits concernés : MAILsweeper, Debian, Fedora, F-Secure AV, RHEL, RedHat Linux, Slackware, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, création/modification de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 30/04/2004.
Dates révisions : 03/05/2004, 05/05/2004, 06/05/2004, 11/05/2004, 14/05/2004, 26/05/2004, 07/06/2004, 18/06/2004, 22/06/2004, 01/07/2004.
Références : 20040602-01-U, 20040603-01-U, BID-10243, CERTA-2004-AVI-147, CVE-2004-0234, CVE-2004-0235, DSA-515, DSA-515-1, FEDORA-2004-119, RHSA-2004:178, RHSA-2004:179, SGI 20040602, SGI 20040603, SSA:2004-125-01, V6-UNIXLHAMULVULN, VIGILANCE-VUL-4147.

Description de la vulnérabilité

Le programme lha permet de compresser et décompresser des archives au format LHarc.

Ce programme comporte 2 buffer overflow permettant à un attaquant de faire exécuter du code sur les machines des utilisateurs décompressant une archive illicite (CAN-2004-0234).

Ce programme contient aussi 2 erreurs créant des fichiers hors du répertoire attendu (CAN-2004-0235).

Un attaquant distant peut donc créer une archive spéciale dont l'ouverture exécutera du code ou créera des fichiers sur la machine des utilisateurs de lha.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2004-0233

Corruption de fichier avec utempter

Synthèse de la vulnérabilité

Lors de l'emploi de utempter, un attaquant local peut corrompre des fichiers du système.
Produits concernés : MAILsweeper, Fedora, F-Secure AV, Mandriva Linux, RHEL, RedHat Linux, Slackware, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Date création : 20/04/2004.
Dates révisions : 22/04/2004, 03/05/2004, 19/05/2004, 26/05/2004, 22/06/2004.
Références : 20040602-01-U, 20040603-01-U, BID-10178, CERTA-2004-AVI-141, CVE-2004-0233, FEDORA-2004-108, FLSA-1546, FLSA:1546, MDKSA-2004:031, MDKSA-2004:031-1, RHSA-2004:174, RHSA-2004:175, SGI 20040602, SGI 20040603, SSA:2004-110-01, V6-LINUXUTEMPTERSYMLINK, VIGILANCE-VUL-4124.

Description de la vulnérabilité

Les fichiers de journalisation /var/run/utmp et /var/log/wtmp enregistrent des informations sur les sessions des utilisateurs. Généralement, seul root est autorisé à y ajouter des entrées.

Le programme utempter est utilisé comme intermédiaire pour écrire dans ces fichiers. Il est employé par certaines applications comme xterm et screen. Ces applications utilisent la bibliothèque libutempter qui fait un appel de la forme :
  /usr/sbin/utempter -d nom_device nom_machine

Le nom de device correspond au périphérique de connexion, comme /dev/tty0. Le programme utempter vérifie la présence de "../" dans le chemin d'accès au device, mais oublie de retourner l'erreur et continue son exécution.

Un attaquant peut ainsi sortir du répertoire /dev dans le but d'utiliser un lien symbolique pointant vers un fichier à corrompre.

Un attaquant local peut donc utiliser cette vulnérabilité dans le but d'altérer un fichier avec des droits privilégiés.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2004-2088

Absence d'analyse de certains messages MIME

Synthèse de la vulnérabilité

Certains emails au format MIME ne sont pas analysés, et les virus qu'ils contiennent ne sont donc pas filtrés.
Produits concernés : Arkoon FAST360, MAILsweeper, Sophos AV.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Date création : 06/02/2004.
Dates révisions : 12/02/2004, 17/02/2004.
Références : BID-9650, CVE-2004-2088, V6-MAILSWEEPERMIMEWORM, VIGILANCE-VUL-4009.

Description de la vulnérabilité

Le format MIME (Multipurpose Internet Mail Extensions) permet à un message électronique de comporter plusieurs types de documents. Par exemple :
 - un fichier texte, corps du message
 - une pièce jointe compressée
 - une image
 - etc.

Dans certains cas, le ver W32/Dumaru.Y utilise des séparateurs MIME incorrects, en relation avec un "Delivery Status Notification". L'antivirus ne détecte pas ce ver, ainsi que tous ceux qui emploieraient ce formatage illicite.

Un attaquant peut donc créer de tels messages dans le but de traverser l'antivirus.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2004-2075

Déni de service à l'aide de données MIME

Synthèse de la vulnérabilité

En créant un mail spécial au format MIME, un attaquant distant peut provoquer une boucle infinie dans l'anti-virus.
Produits concernés : MAILsweeper, Sophos AV.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Date création : 12/02/2004.
Références : BID-9648, CVE-2004-2075, V6-SOPHOSMIMELOOPDOS, VIGILANCE-VUL-4022.

Description de la vulnérabilité

Le format MIME (Multipurpose Internet Mail Extensions) permet à un message électronique de comporter plusieurs types de documents. Par exemple :
 - un fichier texte, corps du message
 - une pièce jointe compressée
 - une image
 - etc.

Les différentes parties des données au format MIME sont séparées par des séparateurs de la forme :
  --identifiant
  --identifiant
  --identifiant--

Lorsque l'antivirus Sophos version 3.78 reçoit un email dont le séparateur MIME final est tronqué, il entre dans une boucle infinie car il cherche à continuer de lire.

Cette vulnérabilité permet donc à un attaquant distant de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 3986

Déni de service à l'aide de fichier RAR

Synthèse de la vulnérabilité

En créant une pièce jointe RAR illicite, un attaquant peut provoquer une boucle infinie dans MAILsweeper.
Produits concernés : MAILsweeper.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : serveur internet.
Date création : 29/01/2004.
Références : BID-9556, V6-MAILSWEEPERRARDOS, VIGILANCE-VUL-3986.

Description de la vulnérabilité

Les archives RAR permettent de stocker des fichiers à la manière des archives TAR ou ZIP.

Clearswift a annoncé que MAILsweeper ne traite pas correctement certaines archives RAR. Une boucle infinie se produit alors et utilise les ressources de la machine.

Cette vulnérabilité permet donc à un attaquant distant d'envoyer un email contenant une pièce jointe RAR illicite dans le but de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.