L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Debian Squeeze

vulnérabilité informatique CVE-2011-0762

vsftpd : déni de service via une expression

Synthèse de la vulnérabilité

Un attaquant peut employer un nom de fichier spécial, afin de forcer vsftpd à consommer de nombreuses ressources processeur.
Produits concernés : Debian, Fedora, Mandriva Linux, openSUSE, RHEL, SLES, vsftpd.
Gravité : 3/4.
Conséquences : déni de service du service.
Provenance : client internet.
Date création : 16/02/2011.
Date révision : 01/03/2011.
Références : BID-46617, CVE-2011-0762, DSA-2305-1, FEDORA-2011-2590, FEDORA-2011-2615, MDVSA-2011:049, openSUSE-SU-2011:0435-1, RHSA-2011:0337-01, SUSE-SR:2011:009, VIGILANCE-VUL-10375, VU#590604.

Description de la vulnérabilité

Le serveur vsftpd permet au client d'utiliser une expression régulière pour préciser le nom d'un fichier. Par exemple :
  LIST fichier*.txt

Cependant cette expression régulière peut être construite afin d'utiliser une récursion profonde. Par exemple :
  LIST {{*},...}
  LIST {{*},{{*},...}}
  LIST {{*},{{*},{{*},...}}}
  etc.

Un attaquant peut donc employer un nom de fichier spécial, afin de forcer vsftpd à consommer de nombreuses ressources processeur.

Cette vulnérabilité est différente de VIGILANCE-VUL-10010.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2011-1080

Noyau Linux : lecture mémoire via ebtables

Synthèse de la vulnérabilité

Un attaquant local possédant la capacité CAP_NET_ADMIN peut modifier une règle ebtables, afin de lire la mémoire ou de mener un déni de service.
Produits concernés : Debian, Linux, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données, déni de service du serveur.
Provenance : shell utilisateur.
Date création : 01/03/2011.
Références : BID-46616, CVE-2011-1080, DSA-2240-1, DSA-2264-1, openSUSE-SU-2012:0236-1, RHSA-2011:0498-01, RHSA-2011:0500-01, RHSA-2011:0833-01, SUSE-SA:2011:031, SUSE-SU-2011:0832-1, VIGILANCE-VUL-10410.

Description de la vulnérabilité

Lorsque Linux est utilisé en mode Bridge, l'administrateur réseau peut employer le firewall ebtables pour définir des règles de flux.

La fonction do_replace() du fichier net/bridge/netfilter/ebtables.c remplace une règle. Cependant, cette fonction ne vérifie pas si le nom de la règle est terminé par un caractère '\0'. Le noyau continue alors à lire des données provenant de sa mémoire, jusqu'à trouver un caractère nul, ou jusqu'à provoquer une erreur de segmentation. Ces données sont passées à try_then_request_module(), puis à la commande modprobe, et sont donc lisibles via la commande ps.

Un attaquant local possédant la capacité CAP_NET_ADMIN peut donc modifier une règle ebtables, afin de lire la mémoire ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2011-1079

Noyau Linux : déni de service via bluetooth bnep

Synthèse de la vulnérabilité

Un attaquant local possédant la capacité CAP_NET_ADMIN peut employer un ioctl sur une socket Bluetooth BNEP, afin de lire la mémoire ou de mener un déni de service.
Produits concernés : Debian, Fedora, Linux, RHEL, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données, déni de service du serveur.
Provenance : shell utilisateur.
Date création : 01/03/2011.
Références : BID-46616, CVE-2011-1079, DSA-2240-1, DSA-2264-1, FEDORA-2011-6447, FEDORA-2011-6541, RHSA-2011:0498-01, RHSA-2011:0500-01, RHSA-2011:0833-01, SUSE-SA:2011:031, SUSE-SU-2011:0832-1, VIGILANCE-VUL-10409.

Description de la vulnérabilité

Le protocole BNEP (Bluetooth Network Encapsulation Protocol) encapsule des données IP sur L2CAP (Logical Link Control and Adaptation Protocol).

La fonction bnep_sock_ioctl() du fichier net/bluetooth/bnep/sock.c implémente les ioctls sur les sockets BNEP. Cependant, cette fonction ne vérifie pas si le nom du device est terminé par un caractère '\0'. Le noyau continue alors à copier des données provenant de sa mémoire, jusqu'à trouver un caractère nul, ou jusqu'à provoquer une erreur de segmentation.

Un attaquant local possédant la capacité CAP_NET_ADMIN peut donc employer un ioctl sur une socket Bluetooth BNEP, afin de lire la mémoire ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2011-1078

Noyau Linux : lecture mémoire via bluetooth sco

Synthèse de la vulnérabilité

Un attaquant local peut interroger une socket Bluetooth, afin de lire un octet provenant de la mémoire du noyau.
Produits concernés : Debian, Linux, RHEL, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 01/03/2011.
Références : BID-46616, CVE-2011-1078, DSA-2240-1, DSA-2264-1, RHSA-2011:0500-01, RHSA-2011:0833-01, RHSA-2012:1156-01, SUSE-SA:2011:031, SUSE-SU-2011:0832-1, VIGILANCE-VUL-10408.

Description de la vulnérabilité

Le fichier net/bluetooth/sco.c implémente le support de Bluetooth SCO (Synchronous Connection Oriented) utilisé pour la voix.

La fonction getsockopt() retourne à l'utilisateur les informations sur une socket. La fonction sco_sock_getsockopt_old() génère ces informations pour les sockets Bluetooth SCO.

Cependant, sco_sock_getsockopt_old() n'initialise pas un octet de la structure sco_conninfo.

Un attaquant local peut donc interroger une socket Bluetooth, afin de lire un octet provenant de la mémoire du noyau.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2011-0719

Samba : corruption de mémoire via FD_SET

Synthèse de la vulnérabilité

Un attaquant peut ouvrir de nombreux fichiers sur un partage Samba, afin de stopper le service, et éventuellement d'y exécuter du code.
Produits concernés : Debian, Fedora, HP-UX, Mandriva Linux, openSUSE, Solaris, RHEL, Samba, Slackware, SLES.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Date création : 28/02/2011.
Références : 670431, 7949, BID-46597, c02787667, CERTA-2011-AVI-120, CVE-2011-0719, DSA-2175-1, FEDORA-2011-3118, FEDORA-2011-3120, HPSBUX02657, MDVSA-2011:038, openSUSE-SU-2011:0403-1, RHSA-2011:0305-01, RHSA-2011:0306-01, SSA:2011-059-01, SSRT100460, SUSE-SR:2011:008, VIGILANCE-VUL-10405.

Description de la vulnérabilité

L'appel système select() surveille des évènements (lecture/écriture) sur une liste de descripteurs de fichiers (un "fd_set").

Un fd_set est un tableau qui contient FD_SETSIZE éléments. La macro FD_SET(fd, &le_fd_set) indique que le descripteur de fichiers "fd" doit être surveillé dans un fd_set. Pour cela, cette macro positionne un drapeau à l'indice fd du tableau fd_set.

Une application qui emploie FD_SET() doit vérifier que le numéro du descripteur de fichier soit positif et inférieur à FD_SETSIZE (sinon FD_SET positionne le drapeau hors du tableau). Cependant, plusieurs fonctions de Samba ne font pas cette vérification. Ce cas d'erreur se produit lorsque de nombreux fichiers sont ouverts (fd >= FD_SETSIZE) ou si une ouverture de fichier a échouée (fd == -1).

Un attaquant peut donc ouvrir de nombreux fichiers sur un partage Samba, afin de stopper le service, et éventuellement d'y exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2011-1018

Logwatch : exécution de code via un nom de fichier

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier de log portant un nom spécial, afin de forcer Logwatch à exécuter du code illicite avec les privilèges root.
Produits concernés : Debian, Fedora, openSUSE, RHEL, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 25/02/2011.
Références : 3184223, CERTA-2011-AVI-163, CVE-2011-1018, DSA-2182-1, FEDORA-2011-2318, FEDORA-2011-2328, openSUSE-SU-2011:0242-1, RHSA-2011:0324-01, SUSE-SR:2011:005, VIGILANCE-VUL-10402.

Description de la vulnérabilité

Le programme Logwatch analyse les fichiers de journaux du système, afin de détecter les erreurs.

Le script logwatch.pl exécute avec les privilèges root une commande shell contenant le nom du fichier :
  cat fichier_log ...
Cependant, le nom du fichier n'est pas purgé avant d'être inséré dans la commande shell. Un attaquant peut donc employer un caractère d'échappement afin d'exécuter une autre commande shell.

Pour mettre en oeuvre l'attaque, l'attaquant doit pouvoir créer un nouveau fichier de log. Par exemple, le serveur Samba crée des fichiers portant le nom de l'utilisateur du service.

Un attaquant peut donc créer un fichier de log portant un nom spécial, afin de forcer Logwatch à exécuter du code illicite avec les privilèges root.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2011-1020

Noyau Linux : obtention d'information sur un setuid

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier sous /proc, afin d'obtenir des informations sur un programme setuid.
Produits concernés : Debian, Linux, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 25/02/2011.
Références : BID-46567, CERTA-2003-AVI-005, CERTA-2012-AVI-479, CVE-2011-1020, DSA-2303-1, DSA-2303-2, DSA-2310-1, ESX400-201209001, ESX400-201209401-SG, ESX400-201209402-SG, ESX400-201209404-SG, ESX410-201208101-SG, ESX410-201208102-SG, ESX410-201208103-SG, ESX410-201208104-SG, ESX410-201208105-SG, ESX410-201208106-SG, ESX410-201208107-SG, openSUSE-SU-2011:0860-1, openSUSE-SU-2011:0861-1, RHSA-2011:1253-01, RHSA-2011:1530-03, RHSA-2012:0007-01, RHSA-2012:0116-01, SUSE-SA:2011:031, SUSE-SU-2011:0832-1, SUSE-SU-2011:1150-1, VIGILANCE-VUL-10400, VMSA-2012-0003.1, VMSA-2012-0005.2, VMSA-2012-0005.3, VMSA-2012-0008.1, VMSA-2012-0013, VMSA-2012-0013.1.

Description de la vulnérabilité

Les fonctions de la famille exec() permettent de remplacer le processus courant par un nouveau processus.

Les fichiers situés sous le répertoire /proc/[pid]/ contiennent des informations concernant un processus. Par exemple, le fichier /proc/[pid]/auxv contient des informations sur l'interpréteur ELF, comme des indications sur ASLR.

Un attaquant peut :
 - créer un processus
 - ouvrir son fichier auxv
 - employer exec() pour remplacer le processus par un programme suid
 - lire le fichier auxv (il est autorisé car il avait ouvert le fichier avant)
Les informations du fichier auxv sont alors celles sur programme suid.

Un attaquant local peut donc lire un fichier sous /proc, afin d'obtenir des informations sur un programme setuid. Cette vulnérabilité permet par exemple de contourner ALSR.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2011-1016

Noyau Linux : écriture mémoire via Radeon R300

Synthèse de la vulnérabilité

Lorsque le système est équipé d'une carte vidéo Radeon R300, un attaquant local peut lui envoyer un message AARESOLVE_OFFSET, afin d'écrire en mémoire.
Produits concernés : Debian, Linux, openSUSE, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : shell utilisateur.
Date création : 24/02/2011.
Références : BID-46557, CVE-2011-1016, DSA-2240-1, openSUSE-SU-2011:0416-1, openSUSE-SU-2011:0861-1, RHSA-2011:0498-01, SUSE-SA:2011:019, SUSE-SA:2011:021, SUSE-SA:2011:026, SUSE-SA:2011:027, SUSE-SU-2011:0512-1, SUSE-SU-2011:0711-1, SUSE-SU-2011:0737-1, SUSE-SU-2011:1150-1, VIGILANCE-VUL-10398.

Description de la vulnérabilité

Le fichier drivers/gpu/drm/radeon/r300.c implémente le support des cartes vidéo de la famille Radeon R300.

Le message RB3D_AARESOLVE_OFFSET indique à la carte vidéo où placer la zone mémoire contenant les calculs pour l'anti-aliasing (lissage des polices de caractères).

Cependant, la fonction r300_packet0_check() ne vérifie pas si l'offset est trop grand.

Lorsque le système est équipé d'une carte vidéo Radeon R300, un attaquant local peut donc lui envoyer un message AARESOLVE_OFFSET, afin d'écrire en mémoire.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-1017

Noyau Linux : buffer overflow via ldm_frag_add

Synthèse de la vulnérabilité

Un attaquant peut monter un périphérique avec une partition Windows Logical Disk Manager illicite, afin de corrompre la mémoire du noyau, ce qui provoque un déni de service ou l'exécution de code.
Produits concernés : Debian, Linux, openSUSE, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur.
Provenance : console utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 24/02/2011.
Références : BID-46512, CVE-2011-1012-REJECT, CVE-2011-1017, DSA-2264-1, openSUSE-SU-2011:0860-1, openSUSE-SU-2011:0861-1, PRE-SA-2011-01, SUSE-SA:2011:026, SUSE-SA:2011:027, SUSE-SA:2011:031, SUSE-SA:2011:034, SUSE-SA:2011:040, SUSE-SU-2011:0512-1, SUSE-SU-2011:0711-1, SUSE-SU-2011:0737-1, SUSE-SU-2011:0832-1, SUSE-SU-2011:0899-1, SUSE-SU-2011:0928-1, SUSE-SU-2011:1058-1, SUSE-SU-2011:1150-1, VIGILANCE-VUL-10397, ZDI-11-090.

Description de la vulnérabilité

Le fichier fs/partitions/ldm.c implémente le support des partitions Windows Logical Disk Manager. Ces partitions sont automatiquement lues lorsqu'un utilisateur connecte/monte un périphérique formaté avec LDM.

La fonction ldm_frag_add() ajoute les champs VBLK d'une partition LDM à une liste chaînée. Le champ VBLK est placé dans une zone mémoire allouée. Cependant, la taille de cette zone mémoire est calculée d'après une multiplication qui peut déborder. Le champ VBLK est alors copié dans une zone mémoire trop courte.

Un attaquant peut donc monter un périphérique avec une partition Windows Logical Disk Manager illicite, afin de corrompre la mémoire du noyau, ce qui provoque un déni de service ou l'exécution de code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2011-1012

Noyau Linux : déni de service via ldm_get_vblks

Synthèse de la vulnérabilité

Un attaquant peut monter un périphérique avec une partition Windows Logical Disk Manager illicite, afin de stopper le système.
Produits concernés : Debian, Linux, openSUSE, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : déni de service du serveur.
Provenance : console utilisateur.
Date création : 24/02/2011.
Références : BID-46512, CVE-2011-1012, DSA-2264-1, openSUSE-SU-2011:0346-1, openSUSE-SU-2011:0399-1, openSUSE-SU-2011:0416-1, PRE-SA-2011-01, SUSE-SA:2011:017, SUSE-SA:2011:020, SUSE-SA:2011:021, SUSE-SA:2011:026, SUSE-SA:2011:027, SUSE-SA:2011:031, SUSE-SU-2011:0512-1, SUSE-SU-2011:0711-1, SUSE-SU-2011:0737-1, SUSE-SU-2011:0832-1, VIGILANCE-VUL-10396.

Description de la vulnérabilité

Le fichier fs/partitions/ldm.c implémente le support des partitions Windows Logical Disk Manager. Ces partitions sont automatiquement lues lorsqu'un utilisateur connecte/monte un périphérique formaté avec LDM.

La fonction ldm_validate_vmdb() appelle la fonction ldm_parse_vmdb() afin de valider les champs VMDB d'une partition LDM. Cependant, la fonction ldm_parse_vmdb() ne vérifie pas si la taille du bloc est nulle. La fonction ldm_get_vblks(), qui est appelée ensuite, déréférence alors un pointeur NULL.

Un attaquant peut donc monter un périphérique avec une partition Windows Logical Disk Manager illicite, afin de stopper le système.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Debian Squeeze :