L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Debian Woody

bulletin de vulnérabilité CVE-2007-2524

OTRS : Cross Site Scripting de Subaction

Synthèse de la vulnérabilité

Un attaquant peut mener une attaque de type Cross Site Scripting en utilisant le paramètre Subaction de OTRS.
Produits concernés : Debian, openSUSE, OTRS Help Desk, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 28/05/2007.
Références : BID-23862, CVE-2007-2524, DSA-1298-1, SUSE-SR:2007:013, VIGILANCE-VUL-6843.

Description de la vulnérabilité

L'outil OTRS (Open Ticket Request System) est utilisé pour gérer les tickets de support.

Le script Kernel/Modules/AgentTicketMailbox.pm ne filtre pas le paramètre Subaction avant de l'afficher dans une page HTML.

Un attaquant peut donc mener une attaque de type Cross Site Scripting sur OTRS.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-3747

Apache httpd : débordement de mod_rewrite

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement d'un seul octet dans mod_rewrite, pouvant conduire à un déni de service ou à l'exécution de code.
Produits concernés : Apache httpd, Debian, Fedora, HPE NMC, OpenView, OpenView NNM, HP-UX, WebSphere AS Traditional, Mandriva Linux, Mandriva NF, OpenBSD, openSUSE, Solaris, Trusted Solaris, Slackware, SLES, TurboLinux.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 28/07/2006.
Dates révisions : 31/07/2006, 22/08/2006, 10/04/2007, 28/05/2007.
Références : 102662, 102663, 20060702-02-P, 6423037, 6452767, 6452773, BID-19204, c00760969, c00794047, c00797078, c01428449, CVE-2006-3747, DSA-1131-1, DSA-1132-1, FEDORA-2006-862, FEDORA-2006-863, HPSBMA02328, HPSBUX02145, HPSBUX02164, HPSBUX02172, MDKSA-2006:133, SGI BUG 954872, SSA:2006-209-01, SSRT061202, SSRT061265, SSRT061269, SSRT071293, SUSE-SA:2006:043, TLSA-2006-20, VIGILANCE-VUL-6046, VU#395412.

Description de la vulnérabilité

Le module mod_rewrite permet de réécrire des uri à la volée. Par exemple :
  RewriteRule ancienne_uri nouvelle_uri [drapeaux]
  RewriteRule /rep/(.*) /script?arg=$1 [R]
Dans ce cas :
  http://serveur/rep/f
est redirigé vers :
  http://serveur/script?arg=f

Cependant, lorsque :
 - l'attaquant peut contrôler le début de la nouvelle uri (par exemple lorsqu'elle commence par $1), et
 - les drapeaux ne contiennent pas : Forbidden (F), Gone (G), ou NoEscape (NE)
un débordement d'un seul octet se produit dans mod_rewrite.

Cette erreur se produit lors de l'analyse d'une uri ldap qui est normalement de la forme "ldap://hostport/dn?attributes?scope?filter?extensions" (cette uri contient 4 paramètres séparés par des points d'interrogation). Cependant, le code de mod_rewrite cherche et stocke 5 paramètres.

La conséquence de ce débordement dépend du contenu de l'octet écrasé :
 - aucun impact
 - déni de service
 - exécution de code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2007-0246

GForge : exécution de commandes via le plugin CVS

Synthèse de la vulnérabilité

Un attaquant peut employer une url spéciale afin d'injecter des commandes shell dans le plugin CVS de GForge.
Produits concernés : Debian, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 24/05/2007.
Références : CVE-2007-0246, DSA-1297-1, VIGILANCE-VUL-6837.

Description de la vulnérabilité

L'environnement de développement GForge supporte CVS et Subversion.

Le script cvsweb.php emploie la fonction passthru() pour exécuter le programme cvsweb en lui fournissant des variables d'environnement (code simplifié) :
  passthru('VAR="valeur" /bin/cvsweb');

La variable d'environnement PATH_INFO est affectée à partir de l'url. Cependant, aucun filtrage n'est effectué. Un attaquant peut donc par exemple employer :
  http://serveur/cvsweb.php?`/bin/ls`
pour faire exécuter :
  passthru('PATH_INFO="`/bin/ls`" /bin/cvsweb');

Cette vulnérabilité permet ainsi à un attaquant d'exécuter des commandes shell.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-1864 CVE-2007-2509 CVE-2007-2510

PHP : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut utiliser plusieurs vulnérabilités de PHP afin de mener un déni de service ou d'exécuter du code.
Produits concernés : Debian, Fedora, Mandriva Linux, Mandriva NF, NLD, OES, openSUSE, PHP, RHEL, Slackware, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 04/05/2007.
Date révision : 22/05/2007.
Références : BID-23813, BID-23984, BID-24012, CVE-2007-1864, CVE-2007-2509, CVE-2007-2510, CVE-2007-2511, CVE-2007-2727, CVE-2007-2748, DSA-1295-1, DSA-1296-1, DSA-1330-1, DSA-1331-1, FEDORA-2007-503, FEDORA-2007-526, MDKSA-2007:102, MDKSA-2007:103, MDKSA-2007:187, RHSA-2007:0348-01, RHSA-2007:0349-01, RHSA-2007:0355-01, RHSA-2007:0888-01, RHSA-2007:0889-01, SSA:2007-127-01, SUSE-SA:2007:044, SUSE-SR:2007:015, VIGILANCE-VUL-6786.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans PHP.

Un attaquant peut injecter un saut de ligne afin d'ajouter des commandes FTP dans ftp_putcmd(). [grav:3/4; CVE-2007-2509]

Un attaquant peut écraser les variables super-global via import_request_variables(). [grav:3/4]

Un buffer overflow distant peut se produire dans libxmlrpc. [grav:3/4; CVE-2007-1864]

Un buffer overflow distant peut se produire dans make_http_soap_request() de la branche 5 de PHP. [grav:3/4; CVE-2007-2510]

Un attaquant peut provoquer un buffer overflow dans user_filter_factory_create() de la branche 5 de PHP. [grav:3/4; CVE-2007-2511]

Un attaquant peut lire des fragments mémoire grâce à la fonction substr_count(). [grav:3/4; BID-24012, CVE-2007-2748]

La fonction mcrypt_create_iv() n'initialise pas correctement le générateur aléatoire. [grav:3/4; BID-23984, CVE-2007-2727]

Ces vulnérabilités sont locales ou distantes selon le contexte.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2007-2754

FreeType : débordement d'entier via TTF

Synthèse de la vulnérabilité

Un attaquant peut créer une police de caractères TTF conduisant à un débordement d'entier de FreeType.
Produits concernés : OpenOffice, Debian, Fedora, Mandriva Linux, Mandriva NF, Windows (plateforme) ~ non exhaustif, openSUSE, Solaris, Trusted Solaris, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 22/05/2007.
Références : 102917, 102967, 103171, 20070602-01-P, 6556877, 6564489, BID-24074, CERTA-2007-AVI-226, CVE-2007-2754, DSA-1302-1, DSA-1334-1, FEDORA-2007-0033, FEDORA-2007-561, FEDORA-2009-5558, FEDORA-2009-5644, MDKSA-2007:121, RHSA-2007:0403-01, RHSA-2009:0329-02, RHSA-2009:1061-02, RHSA-2009:1062-01, SUSE-SA:2007:041, VIGILANCE-VUL-6830.

Description de la vulnérabilité

La bibliothèque FreeType gère les polices de caractères.

Un débordement d'entier peut se produire dans la fonction Get_VMetrics() de src/truetype/ttgload.c lors de l'ouverture d'une police au format TTF. Il conduit à un déni de service ou à l'exécution de code.

Un attaquant peut donc créer une police de caractères illicite et inviter l'utilisateur à l'employer dans un programme utilisant FreeType.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-2692

MySQL : élévation de privilèges via INVOKER

Synthèse de la vulnérabilité

Un attaquant peut exécuter une procédure avec l'attribut INVOKER afin d'élever ses privilèges dans une autre base de données.
Produits concernés : Debian, Mandriva Linux, MySQL Community, MySQL Enterprise, openSUSE, RHEL.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 21/05/2007.
Références : 27337, 27515, BID-24011, CVE-2007-2692, DSA-1413-1, MDVSA-2008:028, RHSA-2007:0894-01, RHSA-2008:0364-01, SUSE-SR:2008:003, VIGILANCE-VUL-6825.

Description de la vulnérabilité

Lors de la création d'une procédure l'attribut "SECURITY" peut être utilisé :
  SECURITY DEFINER : la fonction est exécutée avec les droits de l'utilisateur qui a créé la fonction
  SECURITY INVOKER : la fonction est exécutée avec les droits de l'utilisateur qui appelle la fonction

Lors de l'appel d'une procédure INVOKER depuis une autre base de données, la variable THD::db_access n'est pas réinitialisée.

Un attaquant local peut alors :
 - se connecter à une première base nommée "base1", dans laquelle il dispose de privilèges, puis
 - créer une procédure INVOKER nommée "maproc", puis
 - se connecter à une deuxième base, puis
 - appeler la procédure ("CALL base1.maproc();")
Dans ce cas, l'attaquant obtient les mêmes privilèges que ceux dont il dispose dans la base1, alors qu'il est connecté à la base2.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-2172

Noyau Linux : débordement de dn_fib_props et fib_props

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un débordement dans les tableaux dn_fib_props et fib_props afin de créer un déni de service, et éventuellement d'élever ses privilèges.
Produits concernés : Debian, Linux, Mandriva Linux, Mandriva NF, RHEL.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du serveur.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 21/05/2007.
Références : BID-23447, CERTA-2002-AVI-162, CVE-2007-2172, DSA-1356-1, DSA-1363-1, DSA-1503-1, MDKSA-2007:171, MDKSA-2007:196, MDKSA-2007:216, RHSA-2007:0347-01, RHSA-2007:0488-01, RHSA-2007:1049-01, RHSA-2008:0787-01, RHSA-2009:0001-01, VIGILANCE-VUL-6824.

Description de la vulnérabilité

La valeur RTM_MAX définie dans linux/rtnetlink.h indique le numéro maximal des types de message netlink (environ 70). La valeur RTA_MAX définie dans linux/rtnetlink.h indique le numéro maximal des attributs de message (environ 15). Ces deux valeurs ont été incorrectement utilisées, ce qui provoque deux vulnérabilités.

La taille du tableau dn_fib_props de net/decnet/dn_fib.c utilise RTA_MAX au lieu de RTN_MAX. Ce tableau est donc trop petit. De plus, le noyau ne vérifie pas si le type est inférieur à RTN_MAX. [grav:2/4]

La taille du tableau fib_props de net/ipv4/fib_frontend.c utilise RTA_MAX au lieu de RTN_MAX. Ce tableau est donc trop petit. De plus, le noyau ne vérifie pas si le type est inférieur à RTN_MAX. [grav:2/4]

Ces deux débordements permettent à un attaquant local de mener un déni de service, et pourraient conduire à l'élévation de privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2007-2445

libpng : déni de service via tRNS

Synthèse de la vulnérabilité

Un attaquant peut créer une image PNG contenant un bloc tRNS incorrect afin de stopper les applications liées à libpng.
Produits concernés : Debian, Fedora, libpng, Mandriva Linux, Mandriva NF, openSUSE, Solaris, Trusted Solaris, RHEL, Slackware, TurboLinux.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : document.
Date création : 21/05/2007.
Références : 102987, 20070502-01-P, 200871, 239425, 6555900, BID-24000, BID-24023, CERTA-2007-AVI-242, CVE-2007-2445, DSA-1613-1, DSA-1750-1, FEDORA-2007-0001, FEDORA-2007-528, FEDORA-2007-529, MDKSA-2007:116, RHSA-2007:0356-01, SSA:2007-136-01, SUSE-SR:2007:013, TLSA-2007-45, VIGILANCE-VUL-6823, VU#684664.

Description de la vulnérabilité

Une image PNG est composée d'une série de blocs (chunks) identifiés par 4 lettres :
 - IHDR : entête (image header)
 - PLTE : palette
 - IDAT : valeurs des pixels (image data)
 - tRNS : transparence
 - etc.
Ces chunks se terminent par un CRC afin de contrôler leurs contenus.

La fonction png_handle_tRNS() de libpng vérifie le CRC du chunk tRNS. Lorsque ce dernier est incorrect, les informations de transparence devraient être ignorées, cependant ce n'est pas le cas. Un pointeur non initialisé, utilisé normalement pour indiquer une zone stockant la transparence, peut alors être déréférencé

Un attaquant peut donc créer une image invalide, afin de provoquer un déni de service dans les applications liées à libpng, et accédant aux informations de transparence.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2007-1860

Tomcat JK Connector : accès à une application protégée

Synthèse de la vulnérabilité

Un attaquant peut employer un double encodage d'url afin d'accéder à une application protégée.
Produits concernés : Apache httpd, Tomcat, Debian, HP-UX, NLD, OES, openSUSE, RHEL, SLES.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 21/05/2007.
Références : BID-24147, c01178795, CERTA-2002-AVI-130, CERTA-2007-AVI-229, CVE-2007-1860, DSA-1312-1, HPSBUX02262, RHSA-2007:0379-01, RHSA-2007:0380-01, RHSA-2008:0261-01, RHSA-2008:0524-01, SSRT071447, SUSE-SR:2008:005, VIGILANCE-VUL-6820.

Description de la vulnérabilité

La directive JkMount de Apache httpd indique les uris que mod_jk doit intercepter, et à quel connecteur les transmettre. Par exemple :
   JkMount /rep/page*.jsp ajp13

Le module mod_jk décode les uris au sein de Apache httpd, puis les transmet à Apache Tomcat, qui les décode de nouveau.

Ce double décodage permet à un attaquant de modifier le préfixe de JkMount afin d'accéder aux applications Apache Tomcat qui sont normalement bloquées par Apache httpd.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-2444 CVE-2007-2446 CVE-2007-2447

Samba : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Samba, dont la plus grave permet à un attaquant distant de faire exécuter du code.
Produits concernés : Debian, Fedora, Tru64 UNIX, HP-UX, Mandriva Linux, openSUSE, Solaris, RHEL, Samba, Slackware, SLES, TurboLinux.
Gravité : 3/4.
Conséquences : accès/droits privilégié.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 14/05/2007.
Dates révisions : 15/05/2007, 16/05/2007.
Références : 102964, 20070502-01-P, 6557101, BID-23972, BID-23973, BID-23974, BID-24195, BID-24196, BID-24197, BID-24198, CERTA-2007-AVI-219, CERTA-2008-AVI-007, CVE-2007-2444, CVE-2007-2446, CVE-2007-2447, DSA-1291-2, DSA-1291-3, DSA-1291-4, emr_na-c01067768-1, emr_na-c01078980-1, emr_na-c01091459-1, FEDORA-2007-507, HPSBTU02218, HPSBTU02233, HPSBUX02218, MDKSA-2007:104, MDKSA-2007:104-1, RHSA-2007:0354-01, SSRT071424, SUSE-SA:2007:031, SUSE-SR:2007:014, TLSA-2007-35, VIGILANCE-VUL-6814, VU#268336, VU#773720, ZDI-07-029, ZDI-07-030, ZDI-07-031, ZDI-07-032, ZDI-07-033.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Samba, dont la plus grave permet à un attaquant distant de faire exécuter du code.

Une erreur peut se produire lors de la conversion d'un nom en SID, ou inversement. Cette erreur permet à un attaquant authentifié d'effectuer des opérations SMB/CIFS avec les droits root. [grav:3/4; BID-23974, CERTA-2007-AVI-219, CVE-2007-2444]

Les requêtes MS-RPC sont encodées en NDR (Network Data Representation). Le démon smbd ne décode pas correctement les données NDR, ce qui conduit à plusieurs débordements : lsa_io_privilege_set/LsarAddPrivilegesToAccount, netdfs_io_dfs_EnumInfo_d/DFSEnum, smb_io_notify_option_type_data/RFNPCNEX, sec_io_acl/NetSetFileSecurity et lsa_io_trans_names/LsarLookupSids/LsarLookupSids2. Ces vulnérabilités permettent à un attaquant non authentifié d'exécuter du code. [grav:3/4; BID-23973, BID-24195, BID-24196, BID-24197, BID-24198, CERTA-2008-AVI-007, CVE-2007-2446, VU#773720, ZDI-07-029, ZDI-07-030, ZDI-07-031, ZDI-07-032, ZDI-07-033]

La directive "username map script" du fichier de configuration smb.conf indique un script permettant d'associer les noms d'utilisateurs entre le client et le serveur. Par exemple :
  username map script = /etc/samba/scripts/mapusers.sh
Lorsque l'utilisateur envoie son login, le serveur exécute la commande suivante :
  /bin/sh -c "/etc/samba/scripts/mapusers.sh nomutilisateur"
Un attaquant peut donc employer un nom d'utilisateur illicite, dans une requête de changement de mot de passe, afin de faire exécuter une commande shell sur les serveurs où cette directive est activée.
Cette vulnérabilité affecte aussi d'autres directives, mais dont les scripts sont uniquement exécutés pour les utilisateurs authentifiés. [grav:3/4; BID-23972, CVE-2007-2447, VU#268336]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Debian Woody :