Risque
- Elévation de privilèges ;
- exécution de code arbitraire ;
- déni de service.
Systèmes affectés
- FreeBSD version 6.3 ;
- FreeBSD version 6.4 ;
- FreeBSD version 7.1 ;
- FreeBSD version 7.2.
Résumé
Deux vulnérabilités présentes dans FreeBSD permettent à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire avec des droits élevés.
Description
Deux vulnérabilités sont présentes dans FreeBSD :
- la première est relative à la mise en œuvre des tubes (pipe) et permet à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire dans le contexte du noyau. Cette vulnérabilité ne touche que les versions 6.x de FreeBSD ;
- la seconde vulnérabilité touche le composant devfs (device file system) et permet à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire dans le contexte du noyau.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité FreeBSD SA-09:13.pipe du 02 octobre 2009 :
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-09:13.pipe.asc
- Bulletin de sécurité FreeBSD SA-09:14.devfs du 02 octobre 2009 :
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-09:14.devfs.asc