L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de NASM : multiples vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs corruptions de mémoire se produisent lors de la compilation d'un fichier illicite par NASM.
Systèmes vulnérables : Fedora, Mandriva Linux, Unix (plateforme) ~ non exhaustif.
Gravité de cette menace : 1/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 26/06/2008.
Références de cette faille : BID-29955, CVE-2008-2719, FEDORA-2008-5473, MDVSA-2008:120, VIGILANCE-VUL-7916.

Description de la vulnérabilité 

Le programme NASM compile du code assembleur. Un fichier assembleur illicite peut provoquer plusieurs vulnérabilités.

Lorsqu'un fichier est préprocessé, un débordement d'un seul octet se produit dans la fonction ppscan() de preproc.c. [grav:1/4; CVE-2008-2719]

Lorsqu'un fichier est compilé, plusieurs buffer overflows peuvent se produire. [grav:1/4; BID-29955]

Ces vulnérabilités peuvent conduire à l'exécution de code.

On peut noter que l'impact de cette vulnérabilité est faible. En effet, si l'utilisateur compile du code, il l'exécutera ensuite. Un attaquant peut donc cacher un cheval de Troie dans le code source assembleur, pour obtenir un résultat similaire.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de vulnérabilité informatique concerne les logiciels ou systèmes comme Fedora, Mandriva Linux, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 2 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte sécurité.

Solutions pour cette menace 

NASM : version 2.03.01.
La version 2.03.01 est corrigée :
  http://nasm.sourceforge.net/

Fedora : nouveaux paquetages nasm.
De nouveaux paquetages sont disponibles :
  nasm-2.03.01-1.fc9

Mandriva : nouveaux paquetages nasm.
De nouveaux paquetages sont disponibles :
 
 Mandriva Linux 2008.1:
 e1341726c74cee725268e292736163e8 2008.1/i586/nasm-2.02-1.1mdv2008.1.i586.rpm
 44741f5580b9b7e64fecc26814590302 2008.1/i586/nasm-doc-2.02-1.1mdv2008.1.i586.rpm
 9a52325d2063b8e6461cc110bf5c99fe 2008.1/i586/nasm-rdoff-2.02-1.1mdv2008.1.i586.rpm
 4e9ca678761155cdd0fcbc47b99e1ffe 2008.1/SRPMS/nasm-2.02-1.1mdv2008.1.src.rpm
 Mandriva Linux 2008.1/X86_64:
 a0658241d5d1bd9d0757b20cd1b49619 2008.1/x86_64/nasm-2.02-1.1mdv2008.1.x86_64.rpm
 c4097b75d9d9fbc85543aa005da7e78e 2008.1/x86_64/nasm-doc-2.02-1.1mdv2008.1.x86_64.rpm
 b5f13c0f7ca800623c7858451fdd9891 2008.1/x86_64/nasm-rdoff-2.02-1.1mdv2008.1.x86_64.rpm
 4e9ca678761155cdd0fcbc47b99e1ffe 2008.1/SRPMS/nasm-2.02-1.1mdv2008.1.src.rpm
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.