bulletin de vulnérabilité CVE-2009-2489 CVE-2009-2490 CVE-2009-2491

Sun Ray Server : accès à une session

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Sun Ray Server permettent à un attaquant local d'accéder aux sessions d'un autre utilisateur.

Gravité : 2/4. Date création : 16/07/2009.

Description de la vulnérabilité

Le produit Sun Ray Server (SRSS) permet aux clients légers d'utiliser un environnement Solaris, Linux ou Windows. Lorsqu'un utilisateur quitte un client léger, sa session est sauvée sur SRSS, puis est réimportée lorsqu'il se connecte de nouveau sur un client léger. Le programme utdmsession informe le Device Manager lorsqu'une session est créé/détruite. Un attaquant local peut employer utdmsession pour accéder aux sessions des autres utilisateurs. [grav:2/4; 252226, 6740687, BID-35711, CVE-2009-2489, >] Le démon utaudiod gère le service audio. Lorsque les Trusted Extensions sont activées, un attaquant local peut mener un déni de service dans utaudiod. [grav:1/4; 253889, 6672502, BID-35713, CVE-2009-2490, >] Le démon utaudiod gère le service audio. Lorsque les Trusted Extensions sont activées, un attaquant local peut employer utaudiod pour accéder à la session d'un autre utilisateur. [grav:2/4; 253889, 6672502, BID-35713, CVE-2009-2491, >] Un attaquant local peut ainsi obtenir les privilèges d'un utilisateur.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Sun Ray Server : accès à une session. Mots clés : 252226 253889 6672502 6740687 Device Extensions Linux Manager Ray SRSS Server Solaris Sun Trusted Windows accès session. Références : 252226, 253889, 6672502, 6740687, BID-35711, BID-35713, CVE-2009-2489, CVE-2009-2490, CVE-2009-2491, VIGILANCE-VUL-8868.

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Vulnérabilité : 252226 utdmsession Le programme utdmsession informe le Device Manager lorsqu'une session est créé/détruite. Un attaquant local peut employer utdmsession pour accéder aux sessions des autres utilisateurs. Gravité : 2/4. Références : 252226, 6740687, BID-35711, CVE-2009-2489. Publications et annonces Exemple de source : A Security Vulnerability in Sun Ray Server Software may Allow Unauthorized Manipulation of Sessions

Vulnérabilité : 253889 utaudiod 1 Le démon utaudiod gère le service audio. Lorsque les Trusted Extensions sont activées, un attaquant local peut mener un déni de service dans utaudiod. Gravité : 1/4. Références : 253889, 6672502, BID-35713, CVE-2009-2490. Publications et annonces Exemple de source : Two Security Vulnerabilities in Sun Ray Server Software 4.0 on Systems with Trusted Extensions Enabled May Allow either a Denial of Service (DoS) of the Audio Service or Unauthorized Access to Other Users' Sessions

Vulnérabilité : 253889 utaudiod 2 Le démon utaudiod gère le service audio. Lorsque les Trusted Extensions sont activées, un attaquant local peut employer utaudiod pour accéder à la session d'un autre utilisateur. Gravité : 2/4. Références : 253889, 6672502, BID-35713, CVE-2009-2491. Publications et annonces Exemple de source : Two Security Vulnerabilities in Sun Ray Server Software 4.0 on Systems with Trusted Extensions Enabled May Allow either a Denial of Service (DoS) of the Audio Service or Unauthorized Access to Other Users' Sessions

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Cellule de veille technologique sur les vulnérabilités