Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

syslog-ng Premium Edition 3.0.x, 3.2.x et 4.0.x.

Résumé

Plusieurs vulnérabilités dans syslog-ng permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ou de contourner la politique de sécurité.

Description

Plusieurs vulnérabilités sont présentes dans syslog-ng Premium Edition :

  • des débordements d'entiers dans la version utilisée de la bibliothèque GLib permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
  • des erreurs dans la version utilisée de la bibliothèque OpenSSL permettent à un utilisateur malveillant de contourner la politique de sécurité.

Solution

Les versions 3.0.7a, 3.2.1b et 4.0.1a de syslog-ng Premium Edition corrigent ces problèmes.

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation