Mise à jour de sécurité OpenSMTPD

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4402
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Mise à jour de sécurité OpenSMTPD

Message par charles » 30 janv. 2020 08:39

Une vulnérabilité permettant de réaliser une exécution de code arbitraire à distance en tant que root via une session SMTP a été corrigée le 30/01/2020 :

https://ftp.openbsd.org/pub/OpenBSD/pat ... .patch.sig
https://security-tracker.debian.org/tra ... /opensmtpd
https://nvd.nist.gov/vuln/detail/CVE-2020-7247

À noter :

Cela affecte la configuration par défaut "non commentée". Le problème existe en raison d'une valeur de retour incorrecte lors de l'échec de la validation des entrées.

Avatar du membre
charles
Administrateur du site
Messages : 4402
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité OpenSMTPD

Message par charles » 26 févr. 2020 23:41

Une nouvelle vulnérabilité permettant une exécution de code arbitraire à distance a été corrigée le 24/02/2020 dans la version 6.6.4p1 d'OpenSMTPD :

https://github.com/OpenSMTPD/OpenSMTPD/ ... ag/6.6.4p1

La CVE-2020-8794 obtient un score CVSS 3 de 9.8/10 :

https://nvd.nist.gov/vuln/detail/CVE-2020-8794
https://www.openwall.com/lists/oss-secu ... 20/02/26/1
https://www.openwall.com/lists/oss-secu ... 20/02/24/5

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »