S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 décembre 2009
N° CERTA-2009-AVI-528
Affaire suivie par: CERT-FR
le 03 décembre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités des systèmes FreeBSD

Gestion du document

Référence CERTA-2009-AVI-528
Titre Multiples vulnérabilités des systèmes FreeBSD
Date de la première version 03 décembre 2009
Date de la dernière version 03 décembre 2009
Source(s) Bulletin de mise à jour FreeBSD-SA-09:15.ssl du 03 décembre 2009
Bulletin de mise à jour FreeBSD-SA-09:16.rtld du 03 décembre 2009
Bulletin de mise à jour FreeBSD-SA-09:17.freebsd-update du 03 décembre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données ;
  • élévation de privilèges.

Systèmes affectés

  • FreeBSD versions 8.0 ;
  • FreeBSD versions 7.2 et antérieures ;
  • FreeBSD versions 6.4 et antérieures.

Résumé

De multiples vulnérabilités ont été découvertes dans FreeBSD. L'exploitation de ces vulnérabilités permet d'effectuer des actions diverses pouvant aller jusqu'à l'élévation de privilèges.

Description

Trois vulnérabilités ont été corrigées dans différentes versions du système d'exploitation FreeBSD :

  • la première concerne une mauvaise gestion des sessions SSL et permet de contourner la politique de sécurité ;
  • la deuxième concerne une mauvaise gestion des variables au niveau de l'éditeur de lien temps réel et permet de réaliser une élévation de privilèges ;
  • la dernière concerne une mauvaise gestion du répertoire utilisé par le système de mise à jour et permet de porter atteinte à la confidentialité des données.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 décembre 2009
    version initiale.