S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 novembre 2007
N° CERTA-2007-AVI-485
Affaire suivie par: CERT-FR
le 08 novembre 2007

Avis du CERT-FR

Objet: Vulnérabilités dans Mono

Gestion du document

Référence CERTA-2007-AVI-485
Titre Vulnérabilités dans Mono
Date de la première version 08 novembre 2007
Date de la dernière version 08 novembre 2007
Source(s) Bulletin de sécurité Mono
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Mono versions 1.2.5.1 et antérieures pour Windows (CVE-2007-5473);
  • Mono versions antérieures à 1.2.5.1 (CVE-2007-5197).

Résumé

Deux vulnérabilités ont été découvertes dans Mono permettant d'exécuter du code arbitraire et d'atteindre à la confidentialité des données.

Description

Deux failles ont été découvertes dans Mono :

  • la première vulnérabilité affecte toutes les versions 1.x (antérieures à 1.2.5.1) de Mono. Elle permet l'exécution de code arbitraire (CVE-2007-5197) ;
  • la seconde vulnérabilité n'affecte que les versions 1.x (antérieures à 1.2.5.2) pour Windows de Mono. Elle permet d'accéder au code source de certains fichiers (CVE-2007-5473).

Solution

Installer la version 1.2.5.1 ou la version 1.2.5.2 selon la plate-forme utilisée (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 novembre 2007
    version initiale.