L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de E4M

avis de vulnérabilité informatique 8279

TrueCrypt : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans TrueCrypt.
Produits concernés : E4M, TrueCrypt.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/12/2008.
Références : VIGILANCE-VUL-8279.

Description de la vulnérabilité

Plusieurs vulnérabilités ou faiblesses ont été annoncées dans TrueCrypt.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 7954

TrueCrypt : détection d'existence d'un DFS

Synthèse de la vulnérabilité

Un attaquant local peut détecter si un Deniable File System existe dans la partition TrueCrypt.
Produits concernés : E4M, TrueCrypt.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : accès physique.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/07/2008.
Références : VIGILANCE-VUL-7954.

Description de la vulnérabilité

Le programme TrueCrypt chiffre les données de l'utilisateur. TrueCrypt permet aussi de créer un DFS (Deniable File Systems) pour cacher l'existence même des fichiers, en utilisant une deuxième phrase secrète.

Cependant, lorsque le DFS est monté, et que l'utilisateur ouvre un fichier avec Word par exemple, le nom du fichier reste stocké dans l'historique des fichiers ouverts.

Un attaquant peut donc détecter l'existence d'un DFS et certains fichiers qu'il contient.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-1738

TrueCrypt : point de montage non vérifié

Synthèse de la vulnérabilité

Sous Linux, un attaquant local peut monter un volume dans un répertoire sensible afin de mener un déni de service ou de placer un cheval de Troie.
Produits concernés : E4M, TrueCrypt.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du serveur.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/03/2007.
Date révision : 05/04/2007.
Références : BID-23180, CVE-2007-1738, VIGILANCE-VUL-6696.

Description de la vulnérabilité

Sous un environnement Linux, TrueCrypt peut être installé suid afin de permettre à chaque utilisateur de monter son propre volume chiffré.

Cependant, dans ce cas, TrueCrypt ne vérifie pas le point de montage indiqué par l'utilisateur. Un attaquant local peut par exemple monter son volume sous :
 - /usr/bin
 - /home/util
 - etc.

Un attaquant local peut ainsi placer un cheval de Troie, ou mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 6663

TrueCrypt : démontage du volume

Synthèse de la vulnérabilité

Sous Linux, un attaquant local peut démonter le volume monté par un autre utilisateur.
Produits concernés : E4M, TrueCrypt.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/03/2007.
Références : BID-23128, VIGILANCE-VUL-6663.

Description de la vulnérabilité

Sous un environnement Linux, TrueCrypt peut être installé suid afin de permettre à chaque utilisateur de monter son propre volume chiffré.

Cependant, dans ce cas, TrueCrypt ne vérifie pas si l'utilisateur qui démonte le volume est le même que celui qui l'a monté.

Un attaquant local peut ainsi mener un déni de service en démontant les volumes des autres utilisateurs.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.