Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : qmailAdmin, multiples vulnérabilités

mai 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Deux vulnérabilités de qmailAdmin permettent à un attaquant
d’exécuter du code privilégié ou de mener un Cross Site Scripting.

Gravité : 2/4

Conséquences : accès/droits privilégié, accès/droits client

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 2

Date création : 11/05/2009

PRODUITS CONCERNÉS

 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme qmailAdmin propose une interface web pour gérer une
messagerie qmail. Deux vulnérabilités ont été annoncées.

Le fichier template.c génère du code HTML contenant des urls, mais
ne filtre pas les paramètres de ces urls. Un attaquant peut donc
mener un Cross Site Scripting. [grav:2/4]

La fonction main() de qmailadmin.c ne stoppe pas le programme
lorsque les fonctions setuid() et setgid() échouent. Dans ce cas,
le programme continue donc à s’exécuter avec des privilèges
élevés. [grav:1/4]

CARACTÉRISTIQUES

Références : VIGILANCE-VUL-8703

http://vigilance.fr/vulnerabilite/qmailAdmin-multiples-vulnerabilites-8703


Voir les articles précédents

    

Voir les articles suivants