L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Novell OES

bulletin de vulnérabilité informatique CVE-2011-4194

Novell Open Enterprise Server : buffer overflow via iPrint

Synthèse de la vulnérabilité

Un attaquant distant peut provoquer un buffer overflow dans Novell iPrint Server, afin de faire exécuter du code.
Produits concernés : OES.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 02/02/2012.
Références : 7010084, BID-51791, CVE-2011-4194, VIGILANCE-VUL-11338, ZDI-12-031.

Description de la vulnérabilité

Le protocole IPP (Internet Printing Protocol) permet de gérer l'impression à distance.

Les opérations IPP Print-Job et Create-Job permettent d'imprimer un fichier ou de créer un travail d'impression. Une requête Print-Job ou Create-Job peut contenir des attributs :
 - attributes-charset
 - attributes-natural-language
 - printer-uri
 - etc.

Cependant, si une requête IPP emploie un attribut "attributes-natural-language" trop long, un débordement se produit dans Novell iPrint Server.

Un attaquant distant peut donc provoquer un buffer overflow dans Novell iPrint Server, afin de faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2010-4072 CVE-2010-4073

Noyau Linux : lecture mémoire via ipc

Synthèse de la vulnérabilité

Un attaquant local peut employer un IPC, pour lire des octets provenant de la mémoire du noyau.
Produits concernés : Debian, Fedora, Linux, Mandriva Corporate, MES, NLD, OES, openSUSE, RHEL, SLES, ESX.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 07/10/2010.
Date révision : 06/09/2011.
Références : BID-43828, BID-43829, BID-45054, BID-45073, CERTA-2002-AVI-272, CVE-2010-4072, CVE-2010-4073, DSA-2126-1, ESX400-201110001, ESX400-201110401-SG, ESX400-201110403-SG, ESX400-201110406-SG, ESX400-201110408-SG, ESX400-201110409-SG, ESX400-201110410-SG, FEDORA-2010-18432, FEDORA-2010-18493, FEDORA-2010-18506, MDVSA-2011:029, MDVSA-2011:051, openSUSE-SU-2010:1047-1, openSUSE-SU-2011:0004-1, openSUSE-SU-2011:0048-1, openSUSE-SU-2011:0346-1, openSUSE-SU-2013:0927-1, RHSA-2010:0958-01, RHSA-2011:0007-01, RHSA-2011:0017-01, RHSA-2011:0162-01, SUSE-SA:2010:060, SUSE-SA:2011:001, SUSE-SA:2011:004, SUSE-SA:2011:007, SUSE-SA:2011:008, SUSE-SA:2011:017, SUSE-SU-2011:0928-1, VIGILANCE-VUL-10008, VMSA-2011-0004.2, VMSA-2011-0009.1, VMSA-2011-0010.2, VMSA-2011-0012, VMSA-2011-0012.1, VMSA-2011-0013, VMSA-2012-0005.

Description de la vulnérabilité

Plusieurs appels système gèrent les IPC (Inter Process Communication) :
 - semctl() : sémaphores
 - shmctl() : mémoire partagée
 - msgctl() : messages
Cependant, ces fonctions n'initialisent pas les champs d'une structure. Les données précédentes sont donc transmises à l'utilisateur.

La fonction shmctl() du fichier ipc/shm.c n'initialise pas correctement la structure shmid_ds. [grav:1/4; BID-43829, BID-45054, CVE-2010-4072]

Les fonctions shmctl(), shmctl() et msgctl() du fichier ipc/compat.c n'initialisent pas correctement plusieurs structures. [grav:1/4; BID-43828, BID-45073, CVE-2010-4073]

Un attaquant local peut donc employer un IPC, pour lire des octets provenant de la mémoire du noyau.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2011-2483

crypt_blowfish : collision de hachés

Synthèse de la vulnérabilité

Lorsqu'un utilisateur a un mot de passe contenant des caractères 8 bits, l'algorithme de hachage Blowfish de crypt() génère un haché invalide, qui est potentiellement plus rapide à retrouver par brute force.
Produits concernés : Debian, MES, Mandriva Linux, NLD, OES, openSUSE, PostgreSQL, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Date création : 19/08/2011.
Références : CVE-2011-2483, DSA-2340-1, MDVSA-2011:161, MDVSA-2011:178, MDVSA-2011:179, MDVSA-2011:180, openSUSE-SU-2011:0921-1, openSUSE-SU-2011:0921-2, openSUSE-SU-2011:0970-1, openSUSE-SU-2011:0972-1, openSUSE-SU-2012:0480-1, openSUSE-SU-2013:1670-1, openSUSE-SU-2013:1676-1, RHSA-2011:1377-01, RHSA-2011:1378-01, SUSE-SA:2011:035, SUSE-SU-2011:0922-1, SUSE-SU-2011:0923-1, SUSE-SU-2011:0927-1, SUSE-SU-2011:0971-1, SUSE-SU-2011:0974-1, SUSE-SU-2011:0991-1, SUSE-SU-2011:1081-1, SUSE-SU-2011:1081-2, VIGILANCE-VUL-10934.

Description de la vulnérabilité

La fonction crypt() hache le mot de passe d'un utilisateur. Lors de l'ajout d'un utilisateur, le haché est stocké dans le fichier /etc/shadow. Lors de l'authentification de l'utilisateur, le haché du mot de passe saisi est comparé à celui du fichier /etc/shadow.

La fonction crypt() supporte plusieurs algorithmes de hachage :
 - DES
 - MD5 (préfixe $1$)
 - Blowfish (préfixe $2a$), qui est implémenté dans la bibliothèque crypt_blowfish

Cependant, crypt_blowfish utilise des caractères C signés (-128 à 127), au lieu de caractères non signés (0 à 255). Le haché généré est donc invalide si le mot de passe contient des caractères de 8 bits.

Cette erreur n'a pas d'impact pour l'authentification des utilisateurs, car le haché invalide avait été stocké dans le fichier /etc/shadow, et le haché invalide du mot de passe saisi est le même.

Cependant, le haché généré est sujet à collisions : plusieurs mots de passe peuvent avoir le même haché. Une attaque brute force nécessite alors de tester moins de mots de passe avant de trouver celui de l'utilisateur.

Lorsqu'un utilisateur a un mot de passe contenant des caractères 8 bits, l'algorithme de hachage Blowfish de crypt() génère donc un haché invalide, qui est potentiellement plus rapide à retrouver par brute force.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2011-2697 CVE-2011-2964

foomatic-rip : exécution de code via PPD

Synthèse de la vulnérabilité

Lorsque le système est configuré pour utiliser le filtre d'impression foomatic-rip ou foomatic-rip-hplip, un attaquant local (ou distant via CUPS) peut imprimer un document, afin d'exécuter du code avec les droits de l'utilisateur lp.
Produits concernés : Debian, Fedora, Mandriva Corporate, MES, Mandriva Linux, NLD, OES, openSUSE, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 02/08/2011.
Références : 698451, CVE-2011-2697, CVE-2011-2964, DSA-2380-1, FEDORA-2011-9554, FEDORA-2011-9575, MDVSA-2011:125, openSUSE-SU-2011:0892-1, RHSA-2011:1109-01, RHSA-2011:1110-01, SUSE-SU-2011:0895-1, VIGILANCE-VUL-10883.

Description de la vulnérabilité

Le filtre foomatic-rip ou foomatic-rip-hplip (écrit en C ou en Perl) permet de transcrire les requêtes d'impression en fonction du type de l'imprimante.

Un fichier PPD (PostScript Printer Description) contient une directive FoomaticRIPCommandLine qui indique la ligne de commande à exécuter par foomatic-rip.

L'option "-p" de foomatic-rip indique le nom d'un fichier spool à utiliser. Cependant, lorsque "-p" est employée, foomatic-rip accepte aussi un fichier PPD fourni par l'utilisateur. L'option "-p" peut être fournie via l'option "-U" de lp qui indique le nom d'utilisateur (car tous les paramètres sont concaténés quelle que soit leur origine).

Un attaquant peut donc imprimer avec une option "-U" contenant "-p", et un fichier PPD contenant une commande FoomaticRIPCommandLine illicite. Cette commande sera exécutée avec les droits du système d'impression.

Lorsque le système est configuré pour utiliser le filtre d'impression foomatic-rip ou foomatic-rip-hplip, un attaquant local (ou distant via CUPS) peut donc imprimer un document, afin d'exécuter du code avec les droits de l'utilisateur lp.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2011-2522 CVE-2011-2694

Samba : deux vulnérabilités de SWAT

Synthèse de la vulnérabilité

Un attaquant peut employer deux vulnérabilités de Samba Web Administration Tool, afin de mener un Cross Site Request Forgery et un Cross Site Scripting.
Produits concernés : Debian, Fedora, HP-UX, Mandriva Corporate, MES, Mandriva Linux, NLD, OES, openSUSE, Solaris, RHEL, Samba, Slackware, SUSE Linux Enterprise Desktop, SLES, ESX.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 27/07/2011.
Références : 8289, 8290, 8347, BID-48899, BID-48901, c03297338, CERTA-2011-AVI-416, CERTA-2011-AVI-493, CERTA-2012-AVI-232, CVE-2011-2522, CVE-2011-2694, DSA-2290-1, FEDORA-2011-10341, FEDORA-2011-10367, HPSBUX02768, MDVSA-2011:121, openSUSE-SU-2011:0998-1, RHSA-2011:1219-01, RHSA-2011:1220-01, RHSA-2011:1221-01, SSA:2011-210-03, SSRT100664, SUSE-SU-2011:0981-1, SUSE-SU-2011:0999-1, SUSE-SU-2011:1001-1, SUSE-SU-2011:1002-1, VIGILANCE-VUL-10871.

Description de la vulnérabilité

Le serveur Samba peut être administré via l'interface web SWAT (Samba Web Administration Tool), qui n'est pas activée par défaut. Deux vulnérabilités affectent SWAT.

Le site web de SWAT n'utilise pas de jeton de session. Lorsqu'un administrateur est connecté sur SWAT, un attaquant peut donc l'inviter à consulter une page HTML contenant des images avec des urls spéciales. Lorsque les images sont chargées, ces urls effectuent des opérations d'administration. Etant donné que SWAT ne vérifie pas si ces urls appartiennent à la session de l'administrateur, les opérations d'administration sont directement effectuées. [grav:2/4; 8290, BID-48899, CERTA-2011-AVI-416, CERTA-2012-AVI-232, CVE-2011-2522]

Le site web SWAT emploie la variable SWAT_USER ("username") pour indiquer le nom de l'utilisateur courant. La fonction chg_passwd() du fichier source/web/swat.c change le mot de passe de l'utilisateur. Cependant, cette fonction affiche directement le nom de l'utilisateur stocké dans la variable SWAT_USER. Si le nom d'utilisateur passé en paramètre contient du code JavaScript, la page HTML générée contient donc aussi ce code JavaScript. [grav:2/4; 8289, BID-48901, CVE-2011-2694]

Un attaquant peut donc employer deux vulnérabilités de Samba Web Administration Tool, afin de mener un Cross Site Request Forgery et un Cross Site Scripting.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2011-2721

ClamAV : déni de service via cli_hm_scan

Synthèse de la vulnérabilité

Un attaquant peut envoyer un email contenant une pièce jointe illicite, afin de provoquer une erreur dans la fonction cli_hm_scan(), qui stoppe ClamAV.
Produits concernés : ClamAV, Fedora, Mandriva Corporate, MES, Mandriva Linux, NLD, OES, openSUSE, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Date création : 26/07/2011.
Références : 2818, BID-48891, CVE-2011-2721, FEDORA-2011-10053, FEDORA-2011-10090, MDVSA-2011:122, openSUSE-SU-2011:0940-1, SUSE-SU-2011:0948-1, VIGILANCE-VUL-10870.

Description de la vulnérabilité

Le fichier libclamav/matcher-hash.c implémente la gestion des hachés des signatures de virus, à l'aide des algorithmes MD5, SHA1 et SHA256.

Un email peut contenir une pièce jointe PDF, contenant un objet illicite. Lorsque ClamAV analyse cet objet, il appelle la fonction cli_scanraw() qui appelle la fonction cli_hm_scan() du fichier libclamav/matcher-hash.c pour vérifier si sa signature est connue. Cependant, la fonction de recherche lit la mémoire située après le dernier haché, ce qui provoque une erreur de segmentation (notamment sous Solaris).

Un attaquant peut donc envoyer un email contenant une pièce jointe illicite, afin de provoquer une erreur dans la fonction cli_hm_scan(), qui stoppe ClamAV.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2011-2692

libpng : déni de service via sCAL

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter une image PNG illicite, afin de mener un déni de service dans les applications liées à libpng.
Produits concernés : Debian, Fedora, libpng, MES, Mandriva Linux, NLD, OES, openSUSE, Solaris, Trusted Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : déni de service du client.
Provenance : document.
Date création : 08/07/2011.
Références : BID-48618, CERTA-2003-AVI-037, CVE-2011-2692, DSA-2287-1, FEDORA-2011-10928, FEDORA-2011-10954, FEDORA-2011-8844, FEDORA-2011-8867, FEDORA-2011-9336, FEDORA-2011-9343, MDVSA-2011:151, openSUSE-SU-2011:0915-1, RHSA-2011:1103-01, RHSA-2011:1104-01, RHSA-2011:1105-01, SUSE-SU-2011:0916-1, SUSE-SU-2011:0919-1, VIGILANCE-VUL-10820, VU#819894.

Description de la vulnérabilité

La bibliothèque libpng est employée par plusieurs applications pour décoder et afficher des images PNG.

Le champ sCAL ("Physical Scale", échelle) d'une image PNG définit son échelle relative. Son format est :
 - un octet : unité (mètres)
 - le facteur de multiplication selon l'axe X, représenté en texte (par exemple : "2.5")
 - un octet nul
 - le facteur de multiplication selon l'axe Y, représenté en texte (par exemple : "2.5")

Cependant, si le champ sCAL est vide, ou si l'octet nul est absent, la fonction png_handle_sCAL() cherche à lire une adresse mémoire invalide.

Un attaquant peut donc inviter la victime à consulter une image PNG illicite, afin de mener un déni de service dans les applications liées à libpng.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2011-2501 CVE-2011-2691

libpng : déni de service de png_format_buffer

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à consulter une image PNG malformée, afin de stopper les applications liées à libpng.
Produits concernés : Debian, Fedora, libpng, MES, Mandriva Linux, NLD, OES, openSUSE, Solaris, Trusted Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 28/06/2011.
Références : BID-48474, BID-48660, CERTA-2003-AVI-037, CVE-2011-2501, CVE-2011-2691, DSA-2287-1, FEDORA-2011-8844, FEDORA-2011-8867, FEDORA-2011-8868, FEDORA-2011-8874, FEDORA-2011-9336, FEDORA-2011-9343, MDVSA-2011:151, openSUSE-SU-2011:0915-1, RHSA-2011:1105-01, SUSE-SU-2011:0916-1, SUSE-SU-2011:0919-1, VIGILANCE-VUL-10782.

Description de la vulnérabilité

La bibliothèque libpng permet de gérer des images au format PNG (Portable Network Graphics).

Les fonctions png_chunk_error() et png_chunk_warning() créent les messages d'erreur nécessaires pour indiquer qu'une image est incorrecte. Ces fonctions utilisent la fonction interne png_format_buffer(). Cette dernière contient le code suivant :
  png_memcpy(buffer+iout, error_message, PNG_MAX_ERROR_TEXT(64));
Cette fonction concatène donc toujours 64 octets dans le buffer.

Cependant, si la taille du message est uniquement de 10 caractères, 64 octets sont tout de même copiés, ce qui signifie que le processeur accède à 54 octets situés après la fin de la chaîne de caractères représentant le message. Si ces octets sont situés sur une page mémoire différente, une erreur de segmentation se produit.

Un attaquant peut donc inviter la victime à consulter une image PNG malformée, afin de stopper les applications liées à libpng.

Cette vulnérabilité est une régression de VIGILANCE-VUL-4148.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2011-0786 CVE-2011-0788 CVE-2011-0802

Java JRE/JDK : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Java JRE/JDK permettent à une applet/application illicite d'exécuter du code ou d'obtenir des informations. Une applet/application légitime, manipulant des données illicites, peut aussi être forcée à exécuter du code.
Produits concernés : Debian, Fedora, HPE NNMi, HP-UX, NSMXpress, MES, Mandriva Linux, NLD, OES, Java OpenJDK, openSUSE, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, ESX, vCenter Server.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, création/modification de données, effacement de données, transit de données, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 17.
Date création : 08/06/2011.
Références : BID-48133, BID-48134, BID-48135, BID-48136, BID-48137, BID-48138, BID-48139, BID-48140, BID-48141, BID-48142, BID-48143, BID-48144, BID-48145, BID-48146, BID-48147, BID-48148, BID-48149, c02945548, c03316985, c03358587, c03405642, CERTA-2003-AVI-005, CERTA-2011-AVI-336, CERTA-2012-AVI-286, CERTA-2012-AVI-395, CVE-2011-0786, CVE-2011-0788, CVE-2011-0802, CVE-2011-0814, CVE-2011-0815, CVE-2011-0817, CVE-2011-0862, CVE-2011-0863, CVE-2011-0864, CVE-2011-0865, CVE-2011-0866, CVE-2011-0867, CVE-2011-0868, CVE-2011-0869, CVE-2011-0871, CVE-2011-0872, CVE-2011-0873, DSA-2311-1, DSA-2358-1, FEDORA-2011-8003, FEDORA-2011-8020, FEDORA-2011-8028, HPSBMU02797, HPSBMU02799, HPSBUX02697, HPSBUX02777, javacpujune2011, MDVSA-2011:126, openSUSE-SU-2011:0633-1, openSUSE-SU-2011:0706-1, PSN-2012-08-686, PSN-2012-08-687, PSN-2012-08-688, PSN-2012-08-689, PSN-2012-08-690, RHSA-2011:0856-01, RHSA-2011:0857-01, RHSA-2011:0860-01, RHSA-2011:0938-01, RHSA-2011:1087-01, RHSA-2011:1159-01, RHSA-2011:1265-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SSRT100591, SSRT100854, SSRT100867, SUSE-SA:2011:030, SUSE-SA:2011:032, SUSE-SA:2011:036, SUSE-SU-2011:0632-1, SUSE-SU-2011:0807-1, SUSE-SU-2011:0863-1, SUSE-SU-2011:0863-2, SUSE-SU-2011:0966-1, SUSE-SU-2011:1082-1, TPTI-11-06, VIGILANCE-VUL-10722, VMSA-2011-0013.1, ZDI-11-182, ZDI-11-183, ZDI-11-184, ZDI-11-185, ZDI-11-186, ZDI-11-187, ZDI-11-188, ZDI-11-189, ZDI-11-190, ZDI-11-191, ZDI-11-192, ZDI-11-199.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Java JRE/JDK. Les plus graves de ces vulnérabilités conduisent à l'exécution de code.

Un attaquant peut employer une vulnérabilité de 2D (profil ICC), afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48137, CVE-2011-0862, TPTI-11-06, ZDI-11-183, ZDI-11-184, ZDI-11-185, ZDI-11-186, ZDI-11-187, ZDI-11-188, ZDI-11-189, ZDI-11-190, ZDI-11-191]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48148, CVE-2011-0873]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48143, CVE-2011-0815]

Un attaquant peut employer une vulnérabilité de Deployment (IE Browser Plugin), afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48134, CVE-2011-0817, ZDI-11-182]

Un attaquant peut employer une vulnérabilité de Deployment (Java Web Start), afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48138, CVE-2011-0863, ZDI-11-192]

Un attaquant peut employer une vulnérabilité de HotSpot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48139, CVE-2011-0864]

Un attaquant peut employer une vulnérabilité de Soundbank Decompression, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48149, CVE-2011-0802, ZDI-11-199]

Un attaquant peut employer une vulnérabilité de Sound, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48145, CVE-2011-0814]

Un attaquant peut employer une vulnérabilité de Swing, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-48142, CVE-2011-0871]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-48133, CERTA-2011-AVI-336, CVE-2011-0786]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-48135, CVE-2011-0788]

Un attaquant peut employer une vulnérabilité de Java Runtime Environment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-48136, CVE-2011-0866]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations. [grav:2/4; BID-48140, CVE-2011-0868]

Un attaquant peut employer une vulnérabilité de NIO, afin de mener un déni de service. [grav:2/4; BID-48141, CVE-2011-0872]

Un attaquant peut employer une vulnérabilité de Networking, afin d'obtenir des informations. [grav:2/4; BID-48144, CVE-2011-0867]

Un attaquant peut employer une vulnérabilité de SAAJ, afin d'obtenir des informations. [grav:2/4; BID-48146, CVE-2011-0869]

Un attaquant peut employer une vulnérabilité de Deserialization, afin d'altérer des informations. [grav:1/4; BID-48147, CVE-2011-0865]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2011-1926

Cyrus IMAP : injection de commandes avec STARTTLS

Synthèse de la vulnérabilité

Même si le client IMAP vérifie le certificat TLS du serveur de messagerie, un attaquant peut injecter des commandes dans la session.
Produits concernés : Debian, Fedora, Mandriva Corporate, MES, Mandriva Linux, NLD, OES, openSUSE, RHEL, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, transit de données.
Provenance : client intranet.
Date création : 03/05/2011.
Références : 3424, CVE-2011-1926, DSA-2242-1, DSA-2258-1, FEDORA-2011-7193, FEDORA-2011-7217, MDVSA-2011:100, openSUSE-SU-2011:0800-1, RHSA-2011:0859-01, SUSE-SU-2011:0767-1, SUSE-SU-2011:0776-1, SUSE-SU-2011:0776-2, SUSE-SU-2011:0791-1, VIGILANCE-VUL-10617.

Description de la vulnérabilité

Un attaquant peut se placer en Man-in-the-Middle entre un client et un serveur IMAP pour y injecter des commandes. Les clients utilisant TLS détectent cette attaque lorsqu'ils vérifient la signature avec le certificat TLS fournit par le serveur.

Lorsque le protocole IMAP est encapsulé dans une session TLS (RFC 2595), le client commence la session IMAP en mode texte, puis entre la commande STARTTLS, qui démarre un tunnel TLS à l'intérieur duquel la session IMAP reprend.

Cependant, si un attaquant envoie une commande IMAP après le STARTTLS, elle est dans le buffer de la session IMAP. Lorsque la session reprend, la commande de l'attaquant est donc la première à être interprétée. Cette erreur est due au buffer de réception qui n'a pas été vidé avant de reprendre la session IMAP.

Même si le client IMAP vérifie le certificat TLS du serveur de messagerie, un attaquant peut donc injecter des commandes dans la session.

Cette vulnérabilité est une variante de VIGILANCE-VUL-10428.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Novell OES :