S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 octobre 2009
N° CERTA-2009-AVI-425
Affaire suivie par: CERT-FR
le 07 octobre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités de FreeBSD

Gestion du document

Référence CERTA-2009-AVI-425
Titre Multiples vulnérabilités de FreeBSD
Date de la première version 07 octobre 2009
Date de la dernière version 07 octobre 2009
Source(s) Bulletins de sécurité FreeBSD du 02 octobre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire ;
  • déni de service.

Systèmes affectés

  • FreeBSD version 6.3 ;
  • FreeBSD version 6.4 ;
  • FreeBSD version 7.1 ;
  • FreeBSD version 7.2.

Résumé

Deux vulnérabilités présentes dans FreeBSD permettent à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire avec des droits élevés.

Description

Deux vulnérabilités sont présentes dans FreeBSD :

  • la première est relative à la mise en œuvre des tubes (pipe) et permet à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire dans le contexte du noyau. Cette vulnérabilité ne touche que les versions 6.x de FreeBSD ;
  • la seconde vulnérabilité touche le composant devfs (device file system) et permet à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire dans le contexte du noyau.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 07 octobre 2009
    version initiale.