Sur la liste [OSS Security] on voit une conversation intéressante sur la sécurité des MTA (Mail Transfer Agent). Une faille sur Qmail a été mentionnée par Georgi Guninski en 2005. Cette faille a été rejetée (ignorée) par DJ. Bernstein à l’époque au prétexte que « aucun système n’utilise 4GB de RAM pour son serveur de mail ». Or, des équipes de Qualys on réussi à exploiter ce bug en produisant un Remote code execution pour cette même faille, 15 ans plus tard ! Voir les liens suivants:

Quelles réflexions en tirer ? La sécurité logicielle des serveurs de mail est toujours un sujet d’actualité pour ces infrastructures de l’internet. Qmail est considéré comme un serveur sécurisé, à côté de mastodontes comme SendMail ou Postfix. Ensuite, il n’est jamais trop tard pour patcher, ou pour prendre en compte une vulnérabilité logicielle !

Finalement, ce RCE (Remote Code Execution) dévoilé par Qualys a donné lieu à une intéressante discussion entre Georgi et DJ. Bernstein, l’auteur du logiciel. L’histoire ne raconte pas combien d’exploitations ont eu lieu en conditions réelles, sur des serveurs non patchés…

MTA (Mail Transfer Agent): des failles toujours d’actualité 15 ans après !