S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 janvier 2006
N° CERTA-2006-AVI-044
Affaire suivie par: CERT-FR
le 25 janvier 2006

Avis du CERT-FR

Objet: Vulnérabilités du noyau de FreeBSD

Gestion du document

Référence CERTA-2006-AVI-044
Titre Vulnérabilités du noyau de FreeBSD
Date de la première version 25 janvier 2006
Date de la dernière version 25 janvier 2006
Source(s) Bulletin de sécurité FreeBSD SA-06:06.kmem du 25 janvier 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

  • FreeBSD 5.4 ;
  • FreeBSD 6.0.

Résumé

Deux vulnérabilités du noyau de FreeBSD permettent à un utilisateur local mal intentionné de porter atteinte à la confidentialité des données.

Description

Deux vulnérabilités sont présentes dans le noyau FreeBSD :

  • la première est due à une erreur dans l'initialisation d'un tampon présent dans la pile du noyau FreeBSD (CVE-2006-379) qui, lorsqu'il est consulté par le biais d'un appel système, peut encore contenir des données sensibles appartenant à d'autres utilisateurs ;
  • la deuxième vulnérabilité est due à erreur dans le calcul de la taille d'un tampon par le noyau FreeBSD (CVE-2006-380). Elle permet à un utilisateur local mal intentionné d'avoir accès à des zones de la pile en dehors de ce tampon et contenant potentiellement des informations sensibles. Dans les deux cas, ces vulnérabilités permettent à un utilisateur local mal intentionné de porter atteinte à la confidentialité des données en réalisant un appel système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 janvier 2006
    version initiale.