L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Novell Linux Desktop

vulnérabilité CVE-2012-5166

BIND : déni de service via Records Additionnels

Synthèse de la vulnérabilité

Un attaquant peut employer des Resource Records Additionnels illicites, afin de bloquer un serveur BIND.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, MES, Mandriva Linux, NLD, openSUSE, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/10/2012.
Références : AA-00801, AA-00807, BID-55852, c03526327, CERTA-2012-AVI-569, CERTA-2012-AVI-601, CERTA-2012-AVI-602, CERTA-2012-AVI-603, CERTA-2012-AVI-679, CVE-2012-5166, DSA-2560-1, FEDORA-2012-15965, FEDORA-2012-15981, FreeBSD-SA-12:06.bind, HPSBUX02823, IV30364, IV30365, IV30366, IV30367, IV30368, MDVSA-2012:162, openSUSE-SU-2012:1372-1, openSUSE-SU-2013:0605-1, RHSA-2012:1363-01, RHSA-2012:1364-01, RHSA-2012:1365-01, sol14201, SSA:2012-284-01, SSA:2012-341-01, SSRT100976, SUSE-SU-2012:1390-1, SUSE-SU-2012:1390-2, SUSE-SU-2012:1390-3, VIGILANCE-VUL-12050.

Description de la vulnérabilité

Une réponse DNS contient des Resource Records de différents types :
 - Question : question posée
 - Answer : réponse directe
 - Authority : informations sur l'autorité d'où provient la réponse
 - Additional : informations complémentaires

La fonction query_addadditional() du fichier named/query.c de BIND ajoute les informations additionnelles à une réponse. Cependant, si un nom est dupliqué, une boucle infinie se produit dans le service BIND.

L'origine de ce nom dupliqué dépend du type de serveur :
 - serveur récursif : le nom provient de la réponse d'un serveur autoritaire (configuration d'attaque la plus probable)
 - serveur autoritaire secondaire : le nom provient du transfert de zone provenant du primaire
 - serveur autoritaire primaire : le nom provient d'un fichier de zone chargé

Un attaquant peut donc employer des Resource Records Additionnels illicites, afin de bloquer un serveur BIND.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2012-1667

BIND : déni de service via rdata null

Synthèse de la vulnérabilité

Un attaquant peut employer une zone contenant un enregistrement vide, afin de stopper un serveur DNS récursif, ou d'obtenir des fragments de sa mémoire.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, MES, Mandriva Linux, McAfee Email and Web Security, NLD, OpenBSD, openSUSE, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/06/2012.
Références : BID-53772, c03388901, c03526327, CERTA-2012-AVI-305, CERTA-2012-AVI-305-001, CERTA-2012-AVI-348, CERTA-2012-AVI-364, CERTA-2012-AVI-601, CERTA-2012-AVI-663, CVE-2012-1667, DSA-2486-1, ESX410-201211001, ESX410-201211401-SG, ESX410-201211402-SG, ESX410-201211405-SG, ESX410-201211407-SG, FEDORA-2012-8946, FEDORA-2012-8962, FEDORA-2012-8968, FreeBSD-SA-12:03.bind, HPSBUX02795, HPSBUX02823, IV22554, IV22555, IV22556, IV22557, IV22625, MDVSA-2012:089, openSUSE-SU-2012:0722-1, openSUSE-SU-2013:0605-1, RHSA-2012:0716-01, RHSA-2012:0717-01, RHSA-2012:1110-01, sol13175, SOL13660, SSA:2012-166-01, SSA:2012-341-01, SSRT100878, SSRT100976, SUSE-SU-2012:0741-1, SUSE-SU-2012:0741-2, SUSE-SU-2012:0741-3, SUSE-SU-2012:0741-4, SUSE-SU-2012:0741-5, SUSE-SU-2012:0741-6, VIGILANCE-VUL-11671, VMSA-2012-0016, VU#381699.

Description de la vulnérabilité

Un enregistrement DNS contient généralement des données (rdata, Record Data), comme un nom de serveur ou une adresse IP.

Ces données peuvent avoir une taille nulle. Cependant, BIND gère ce cas avec un pointeur NULL, qui est traité de manière spéciale. BIND cherche alors à lire les données à une zone mémoire invalide. Cela conduit à un arrêt, ou à l'obtention d'une zone mémoire.

Ce cas se produit lorsque BIND est configuré en serveur récursif, et interroge un serveur de l'attaquant possédant un enregistrement vide. Ce cas se produit aussi lorsqu'un serveur autoritaire contient un enregistrement vide, et les serveurs secondaires peuvent alors mémoriser une valeur invalide dans leur cache.

Un attaquant peut donc employer une zone contenant un enregistrement vide, afin de stopper un serveur DNS récursif, ou d'obtenir des fragments de sa mémoire.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2012-1182

Samba : buffer overflow via PIDL

Synthèse de la vulnérabilité

Un attaquant non authentifié peut envoyer une requête RPC illicite, afin de provoquer un débordement dans Samba, qui conduit à l'exécution de code avec les privilèges root.
Produits concernés : Debian, Fedora, HP-UX, MES, Mandriva Linux, NLD, openSUSE, Solaris, RHEL, Samba, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/04/2012.
Références : 8815, BID-52973, BID-55655, c03365218, CERTA-2012-AVI-210, CVE-2012-1182, DSA-2450-1, FEDORA-2012-5805, FEDORA-2012-5843, FEDORA-2012-6382, HPSBUX02789, MDVSA-2012:055, openSUSE-SU-2012:0507-1, openSUSE-SU-2012:0508-1, RHSA-2012:0466-01, RHSA-2012:0478-01, RHSA-2013:0506-02, RHSA-2013:0515-02, SSRT100824, SUSE-SU-2012:0500-1, SUSE-SU-2012:0501-1, SUSE-SU-2012:0501-2, SUSE-SU-2012:0502-1, SUSE-SU-2012:0504-1, SUSE-SU-2012:0515-1, VIGILANCE-VUL-11531, ZDI-12-063, ZDI-12-064, ZDI-12-068, ZDI-12-069, ZDI-12-070, ZDI-12-071, ZDI-12-072.

Description de la vulnérabilité

Le service Samba implémente le protocole SMB/CIFS, et les fonctionnalités RPC (Remote Procedure Call) associées.

Le code source de Samba emploie PIDL (Perl Interface Definition Language) afin de générer du code C implémentant les interfaces RPC.

Le code généré par PIDL utilise deux variables pour stocker la taille des tableaux. Cependant, la taille indiquée par l'une des variables n'est pas vérifiée. Ainsi, si cette taille est trop grande, un buffer overflow se produit.

Un attaquant non authentifié peut donc envoyer une requête RPC illicite, afin de provoquer un débordement dans Samba, qui conduit à l'exécution de code avec les privilèges root.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2012-1126 CVE-2012-1127 CVE-2012-1128

FreeType : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter un document utilisant une police de caractères illicite avec une application liée à FreeType, afin de faire exécuter du code sur sa machine.
Produits concernés : Debian, Fedora, MES, Mandriva Linux, NLD, OpenBSD, openSUSE, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/03/2012.
Références : BID-52318, CERTA-2012-AVI-123, CERTA-2012-AVI-235, CVE-2012-1126, CVE-2012-1127, CVE-2012-1128, CVE-2012-1129, CVE-2012-1130, CVE-2012-1131, CVE-2012-1132, CVE-2012-1133, CVE-2012-1134, CVE-2012-1135, CVE-2012-1136, CVE-2012-1137, CVE-2012-1138, CVE-2012-1139, CVE-2012-1140, CVE-2012-1141, CVE-2012-1142, CVE-2012-1143, CVE-2012-1144, DSA-2428-1, FEDORA-2012-4946, FEDORA-2012-5422, FEDORA-2013-1114, MDVSA-2012:057, openSUSE-SU-2012:0489-1, RHSA-2012:0467-01, SSA:2012-176-01, SUSE-SU-2012:0483-1, SUSE-SU-2012:0483-2, SUSE-SU-2012:0484-1, SUSE-SU-2012:0521-1, SUSE-SU-2012:0553-1, VIGILANCE-VUL-11407.

Description de la vulnérabilité

La bibliothèque FreeType gère des polices de caractères. Elle est affectée par plusieurs vulnérabilités.

Un attaquant peut employer des propriétés BDF illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CERTA-2012-AVI-123, CERTA-2012-AVI-235, CVE-2012-1126]

Un attaquant peut employer des glyphes/bitmaps BDF illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1127]

Un attaquant peut manipuler un pointeur Zone2, afin de déréférencer un pointeur NULL, ce qui stoppe l'application. [grav:1/4; CVE-2012-1128]

Un attaquant peut employer des chaînes SFNT Type42 illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1129]

Un attaquant peut employer des propriétés PCF illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1130]

Un attaquant peut manipuler une cellule, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1131]

Un attaquant peut employer un dictionnaire illicite, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1132]

Un attaquant peut employer des glyphes BDF illicites, afin de provoquer un buffer overflow, qui peut conduire à l'exécution de code. [grav:3/4; CVE-2012-1133]

Un attaquant peut employer un dictionnaire illicite, afin de provoquer un buffer overflow, qui peut conduire à l'exécution de code. [grav:3/4; CVE-2012-1134]

Un attaquant peut employer les instructions NPUSHB et NPUSHW, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1135]

Un attaquant peut employer des glyphes/bitmaps BDF sans champ ENCODING, afin de provoquer un buffer overflow, qui peut conduire à l'exécution de code. [grav:3/4; CVE-2012-1136]

Un attaquant peut employer un entête BDF illicite, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1137]

Un attaquant peut employer l'instruction MIRP, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1138]

Un attaquant peut employer des glyphes BDF illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1139]

Un attaquant peut employer des objets PostScript illicites, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1140]

Un attaquant peut employer une chaîne ASCII, afin de provoquer une lecture à une adresse mémoire invalide, qui stoppe l'application. [grav:1/4; CVE-2012-1141]

Un attaquant peut employer des glyphes, afin de provoquer un buffer overflow, qui peut conduire à l'exécution de code. [grav:3/4; CVE-2012-1142]

Un attaquant peut forcer des calculs à effectuer une division par zéro, ce qui stoppe l'application. [grav:1/4; CVE-2012-1143]

Un attaquant peut manipuler un pointeur Zone2, afin de provoquer un buffer overflow, qui peut conduire à l'exécution de code. [grav:3/4; CVE-2012-1144]

Un attaquant peut donc inviter la victime à consulter un document utilisant une police de caractères illicite avec une application liée à FreeType, afin de faire exécuter du code sur sa machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2012-0870

Samba : buffer overflow via AndX

Synthèse de la vulnérabilité

Un attaquant non authentifié peut envoyer une requête SMB AndX vers Samba, afin de provoquer une boucle, qui provoque le débordement de tableaux, conduisant à un déni de service ou à l'exécution de code.
Produits concernés : HP-UX, MES, NLD, openSUSE, Solaris, RHEL, Samba, SUSE Linux Enterprise Desktop, SLES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/02/2012.
Références : c04401461, CERTA-2012-AVI-099, CERTFR-2014-AVI-112, CVE-2012-0870, HPSBUX03093, MDVSA-2012:025, openSUSE-SU-2012:0507-1, RHSA-2012:0332-01, SSRT101009, SUSE-SU-2012:0337-1, SUSE-SU-2012:0338-1, SUSE-SU-2012:0348-1, SUSE-SU-2012:0515-1, VIGILANCE-VUL-11389.

Description de la vulnérabilité

Le protocole SMB/CIFS utilise des commandes de type AndX, afin de chaîner les données.

La fonction chain_reply() du fichier source/smbd/process.c décode les messages AndX. Cependant, cette fonction ne vérifie pas si les offset indiqués sont croissants. Un attaquant peut alors employer des commandes AndX qui reviennent en arrière.

Un attaquant non authentifié peut donc envoyer une requête SMB AndX vers Samba, afin de provoquer une boucle, qui provoque le débordement de tableaux, conduisant à un déni de service ou à l'exécution de code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2011-4862

MIT krb5-appl : buffer overflow de telnetd

Synthèse de la vulnérabilité

Un attaquant distant non authentifié peut provoquer un buffer overflow dans le démon telnetd de MIT krb5-appl, afin de le stopper, ou d'y exécuter du code.
Produits concernés : AsyncOS, Cisco Content SMA, Cisco ESA, IronPort Email, IronPort Management, IronPort Web, Cisco WSA, Debian, Fedora, FreeBSD, MES, Mandriva Linux, MIT krb5, NetBSD, NLD, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif, ESX.
Gravité : 4/4.
Conséquences : accès/droits administrateur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/12/2011.
Références : 83262, BID-51182, CERTA-2011-AVI-718, CERTA-2012-ALE-001-001, cisco-amb-20120126-ironport, cisco-sa-20120126-ironport, CVE-2011-4862, DSA-2372-1, DSA-2373-1, DSA-2375-1, FEDORA-2011-17492, FEDORA-2011-17493, FreeBSD-SA-11:08.telnetd, MDVSA-2011:195, MITKRB5-SA-2011-008, openSUSE-SU-2012:0019-1, openSUSE-SU-2012:0051-1, RHSA-2011:1851-01, RHSA-2011:1852-02, RHSA-2011:1853-01, RHSA-2011:1854-01, SUSE-SU-2012:0010-1, SUSE-SU-2012:0018-1, SUSE-SU-2012:0024-1, SUSE-SU-2012:0042-1, SUSE-SU-2012:0050-1, SUSE-SU-2012:0056-1, VIGILANCE-VUL-11248.

Description de la vulnérabilité

La RFC 2946 définit un protocole de chiffrement des sessions TELNET. Le démon telnetd de MIT krb5-appl implémente cette RFC.

L'option TELNET ENCRYPT (38) définit la sous-option ENC_KEYID (7) qui indique l'identifiant de la clé de chiffrement.

Lorsque le démon telnetd reçoit la sous-option ENC_KEYID, il appelle la fonction encrypt_keyid() du fichier libtelnet/encrypt.c. Cependant, cette fonction ne vérifie pas la taille de l'identifiant, et un débordement se produit.

Un attaquant distant non authentifié peut donc provoquer un buffer overflow dans le démon telnetd de MIT krb5-appl, afin de le stopper, ou d'y exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2011-4313

BIND 9 : déni de service via la récursivité

Synthèse de la vulnérabilité

Un attaquant peut employer une requête illicite sur un serveur DNS BIND récursif, ayant une valeur invalide dans son cache, afin de le stopper.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, FreeBSD, HP-UX, AIX, BIND, MES, Mandriva Linux, NetBSD, NLD, OpenBSD, OpenSolaris, openSUSE, Solaris, Trusted Solaris, RHEL, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2011.
Date révision : 17/11/2011.
Références : BID-50690, c03105548, CERTA-2011-AVI-645, CVE-2011-4313, DSA-2347-1, FEDORA-2011-16002, FEDORA-2011-16036, FEDORA-2011-16057, FreeBSD-SA-11:06.bind, HPSBUX02729, IV09491, IV09978, IV10049, IV11106, IV11742, IV11743, IV11744, MDVSA-2011:176, MDVSA-2011:176-1, MDVSA-2011:176-2, NetBSD-SA2011-009, openSUSE-SU-2011:1272-1, RHSA-2011:1458-01, RHSA-2011:1459-01, RHSA-2011:1496-01, sol14204, SSRT100687, SUSE-SU-2011:1268-1, SUSE-SU-2011:1270-1, SUSE-SU-2011:1270-2, SUSE-SU-2011:1270-3, VIGILANCE-VUL-11162, VU#606539.

Description de la vulnérabilité

Le serveur DNS BIND peut être configuré en mode récursif, afin de résoudre les adresses externes demandées par les clients internes. Les réponses des serveurs DNS externes sont gardées en cache, et ce cache est ensuite interrogé pour répondre aux futures requêtes.

Le protocole DNSSEC permet d'authentifier les données des zones DNS. Les enregistrements NSEC et NSEC3 sont utilisés pour indiquer qu'un nom n'existe pas (NXDOMAIN, Non-Existent Domain, NX). Ces enregistrements n'ont donc pas de données (rdata) associées.

Un attaquant peut (via un autre bug) forcer le cache d'un serveur DNS récursif à contenir un enregistrement NX avec des rdata. Ensuite, lorsque le client demande cet enregistrement, la fonction query_addadditional2() du fichier query.c appelle la macro INSIST(!dns_rdataset_isassociated(sigrdataset)), car un rdata est associé à enregistrement NX. La macro INSIST stoppe le démon.

Pour mettre en oeuvre cette vulnérabilité, l'attaquant peut être sur le réseau interne, et demander une résolution invalide. Il peut aussi créer un document HTML contenant des images situées sur un serveur portant un nom illicite, puis inviter la victime à consulter cette page HTML. Il peut aussi envoyer un email provenant d'un nom de serveur illicite, qui sera résolu par le serveur de messagerie.

Un attaquant peut donc employer une requête illicite sur un serveur DNS BIND récursif, ayant une valeur invalide dans son cache, afin de le stopper.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2010-4072 CVE-2010-4073

Noyau Linux : lecture mémoire via ipc

Synthèse de la vulnérabilité

Un attaquant local peut employer un IPC, pour lire des octets provenant de la mémoire du noyau.
Produits concernés : Debian, Fedora, Linux, Mandriva Corporate, MES, NLD, OES, openSUSE, RHEL, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/10/2010.
Date révision : 06/09/2011.
Références : BID-43828, BID-43829, BID-45054, BID-45073, CERTA-2002-AVI-272, CVE-2010-4072, CVE-2010-4073, DSA-2126-1, ESX400-201110001, ESX400-201110401-SG, ESX400-201110403-SG, ESX400-201110406-SG, ESX400-201110408-SG, ESX400-201110409-SG, ESX400-201110410-SG, FEDORA-2010-18432, FEDORA-2010-18493, FEDORA-2010-18506, MDVSA-2011:029, MDVSA-2011:051, openSUSE-SU-2010:1047-1, openSUSE-SU-2011:0004-1, openSUSE-SU-2011:0048-1, openSUSE-SU-2011:0346-1, openSUSE-SU-2013:0927-1, RHSA-2010:0958-01, RHSA-2011:0007-01, RHSA-2011:0017-01, RHSA-2011:0162-01, SUSE-SA:2010:060, SUSE-SA:2011:001, SUSE-SA:2011:004, SUSE-SA:2011:007, SUSE-SA:2011:008, SUSE-SA:2011:017, SUSE-SU-2011:0928-1, VIGILANCE-VUL-10008, VMSA-2011-0004.2, VMSA-2011-0009.1, VMSA-2011-0010.2, VMSA-2011-0012, VMSA-2011-0012.1, VMSA-2011-0013, VMSA-2012-0005.

Description de la vulnérabilité

Plusieurs appels système gèrent les IPC (Inter Process Communication) :
 - semctl() : sémaphores
 - shmctl() : mémoire partagée
 - msgctl() : messages
Cependant, ces fonctions n'initialisent pas les champs d'une structure. Les données précédentes sont donc transmises à l'utilisateur.

La fonction shmctl() du fichier ipc/shm.c n'initialise pas correctement la structure shmid_ds. [grav:1/4; BID-43829, BID-45054, CVE-2010-4072]

Les fonctions shmctl(), shmctl() et msgctl() du fichier ipc/compat.c n'initialisent pas correctement plusieurs structures. [grav:1/4; BID-43828, BID-45073, CVE-2010-4073]

Un attaquant local peut donc employer un IPC, pour lire des octets provenant de la mémoire du noyau.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2011-2483

crypt_blowfish : collision de hachés

Synthèse de la vulnérabilité

Lorsqu'un utilisateur a un mot de passe contenant des caractères 8 bits, l'algorithme de hachage Blowfish de crypt() génère un haché invalide, qui est potentiellement plus rapide à retrouver par brute force.
Produits concernés : Debian, MES, Mandriva Linux, NLD, OES, openSUSE, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/08/2011.
Références : CVE-2011-2483, DSA-2340-1, MDVSA-2011:161, MDVSA-2011:178, MDVSA-2011:179, MDVSA-2011:180, openSUSE-SU-2011:0921-1, openSUSE-SU-2011:0921-2, openSUSE-SU-2011:0970-1, openSUSE-SU-2011:0972-1, openSUSE-SU-2012:0480-1, openSUSE-SU-2013:1670-1, openSUSE-SU-2013:1676-1, RHSA-2011:1377-01, RHSA-2011:1378-01, SUSE-SA:2011:035, SUSE-SU-2011:0922-1, SUSE-SU-2011:0923-1, SUSE-SU-2011:0927-1, SUSE-SU-2011:0971-1, SUSE-SU-2011:0974-1, SUSE-SU-2011:0991-1, SUSE-SU-2011:1081-1, SUSE-SU-2011:1081-2, VIGILANCE-VUL-10934.

Description de la vulnérabilité

La fonction crypt() hache le mot de passe d'un utilisateur. Lors de l'ajout d'un utilisateur, le haché est stocké dans le fichier /etc/shadow. Lors de l'authentification de l'utilisateur, le haché du mot de passe saisi est comparé à celui du fichier /etc/shadow.

La fonction crypt() supporte plusieurs algorithmes de hachage :
 - DES
 - MD5 (préfixe $1$)
 - Blowfish (préfixe $2a$), qui est implémenté dans la bibliothèque crypt_blowfish

Cependant, crypt_blowfish utilise des caractères C signés (-128 à 127), au lieu de caractères non signés (0 à 255). Le haché généré est donc invalide si le mot de passe contient des caractères de 8 bits.

Cette erreur n'a pas d'impact pour l'authentification des utilisateurs, car le haché invalide avait été stocké dans le fichier /etc/shadow, et le haché invalide du mot de passe saisi est le même.

Cependant, le haché généré est sujet à collisions : plusieurs mots de passe peuvent avoir le même haché. Une attaque brute force nécessite alors de tester moins de mots de passe avant de trouver celui de l'utilisateur.

Lorsqu'un utilisateur a un mot de passe contenant des caractères 8 bits, l'algorithme de hachage Blowfish de crypt() génère donc un haché invalide, qui est potentiellement plus rapide à retrouver par brute force.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2011-2697 CVE-2011-2964

foomatic-rip : exécution de code via PPD

Synthèse de la vulnérabilité

Lorsque le système est configuré pour utiliser le filtre d'impression foomatic-rip ou foomatic-rip-hplip, un attaquant local (ou distant via CUPS) peut imprimer un document, afin d'exécuter du code avec les droits de l'utilisateur lp.
Produits concernés : Debian, Fedora, Mandriva Corporate, MES, Mandriva Linux, NLD, OES, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/08/2011.
Références : 698451, CVE-2011-2697, CVE-2011-2964, DSA-2380-1, FEDORA-2011-9554, FEDORA-2011-9575, MDVSA-2011:125, openSUSE-SU-2011:0892-1, RHSA-2011:1109-01, RHSA-2011:1110-01, SUSE-SU-2011:0895-1, VIGILANCE-VUL-10883.

Description de la vulnérabilité

Le filtre foomatic-rip ou foomatic-rip-hplip (écrit en C ou en Perl) permet de transcrire les requêtes d'impression en fonction du type de l'imprimante.

Un fichier PPD (PostScript Printer Description) contient une directive FoomaticRIPCommandLine qui indique la ligne de commande à exécuter par foomatic-rip.

L'option "-p" de foomatic-rip indique le nom d'un fichier spool à utiliser. Cependant, lorsque "-p" est employée, foomatic-rip accepte aussi un fichier PPD fourni par l'utilisateur. L'option "-p" peut être fournie via l'option "-U" de lp qui indique le nom d'utilisateur (car tous les paramètres sont concaténés quelle que soit leur origine).

Un attaquant peut donc imprimer avec une option "-U" contenant "-p", et un fichier PPD contenant une commande FoomaticRIPCommandLine illicite. Cette commande sera exécutée avec les droits du système d'impression.

Lorsque le système est configuré pour utiliser le filtre d'impression foomatic-rip ou foomatic-rip-hplip, un attaquant local (ou distant via CUPS) peut donc imprimer un document, afin d'exécuter du code avec les droits de l'utilisateur lp.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.