[cllfst] Fwd: Failles dans "Webmin" et "Usermin", Noyau Linux, Téléphones "IP Touch".

[ Thread Index | Date Index | More lists.tuxfamily.org/cllfst Archives ]



 


 
Computer Emergency Response Team- Tunisian Coordination Center
Bulletin N° 2007- 098
 
Objet: 

Vulnérabilités découvertes dans:

- "Webmin" et "Usermin" : Vulnérabilité moyennement critique, qui pourrait être exploitée par un attaquant distant afin d'exécuter des commandes arbitraires ou afin de contourner les mesures de sécurité.

- Noyau Linux : Trois vulnérabilités moyennement critiques, qui pourraient être exploitée par un attaquant distant afin de causer un déni de service ou d'accéder illégalement à des informations en mémoire.

- Téléphones "IP Touch" : Vulnérabilité moyennement critique, qui pourrait être exploitée par un attaquant distant afin de se connecter physiquement au téléphone via le mini-commutateur intégré à ce dernier (prise PC du téléphone), de contourner la phase d'authentification 802.1x du VLAN de Voix sur IP (VoIP), et d'entrer illégalement sur ce réseaux VoIP.


 
"Webmin" et "Usermin"
  • Versions affectées 
     
    • "Webmin" versions 1.340 et antérieures
    • "Usermin" versions 1.270 et antérieures
       


     
  • Criticité
  • Non Critique

    Moyennement Critique

    Critique   Très Critique 
     
  • Impact: Exécution des commandes arbitraires, Contourner les mesures de sécurité par un attaquant distant.  
     
  • Brève Description:

    La vulnérabilité est due à une erreur dans les logiciels "Webmin" et "Usermin". L'exploitation de cette vulnérabilité pourrait permettre à un attaquant distant , à travers un site web ou un e-mail spécifique d'exécuter des scripts sur la machine de la victime dans un contexte de "confiance".

     

Solution 


Appliquer le mise à jour des produits "Webmin" et "Usermin"
http://prdownloads.sourceforge.net/webadmin

 

Référence CERT-TCC: CERT-TCC/Vuln.2007-287

Noyau Linux

  • Versions affectées 
     


  •  
  • Criticité
  • Non Critique

    Moyennement Critique

    Critique

      Très Critique 
     
  • Impact:  Déni de Service, Accéder à des Informations en Mémoire, par un attaquant distant.  
     
  • Brève Description:

    La première vulnérabilité est due à une erreur de gestion des connexions SCTP par l'outil de filtrage IP "Netfilter". L'exploitation de cette faille pourrait permettre à un attaquant de causer un déni de service du système.

    La deuxième Faille est due à une erreur de gestion de la fonction "cpuset_tasks_read". L'exploitation de cette vulnérabilité pourrait permettre à un utilisateur local d'accéder à des informations sensibles contenues dans la mémoire du système.

    La troisième vulnérabilité est due à une erreur de traitement des nombres aléatoire par le noyau Linux. L'exploitation de cette vulnérabilité pourrait permettre à un attaquant de diminue le caractère aléatoire de ces nombres lorsqu'ils sont générés par le noyau (problème d'entropie).
     

Solution 


Les versions 2.6.20.13 et 2.6.21.4 du noyau Linux corrigent ces trois vulnérabilités

Mises à jour du noyau Linux
 
http://www.kernel.org/

 
 
Référence CVE : CVE-2007-2453 - CVE-2007-2875 - CVE-2007-2876
Référence CERT-TCC: CERT-TCC/Vuln.2007-289

Téléphones "IP Touch"

  • Versions affectées 
     
    • Téléphones "IP Touch" d'Alcatel-Lucent
       


     
  • Criticité
  • Non Critique

    Moyennement Critique

    Critique

      Très Critique 
     
  • Impact: Connecter Physiquement au Téléphone, Contourner la Phase d'Authentification et d'Entrer Illégalement sur ce Réseaux VoIP, par un attaquant.  
     
  • Brève Description:
  • La vulnérabilité est due à une erreur de gestion des VLAN au niveau du mini-commutateur ("mini-switch") des téléphones "IP Touch", Bien que l'authentification 802.1x du VLAN VoIP soit activée et que des VLAN 802.1q spécifiques soient configurés pour séparer le trafic voix/données. L'exploitation de cette faille pourrait permettre à un attaquant distant de se connecter physiquement au téléphone (prise PC du téléphone), de contourner la phase d'authentification et d'entrer illégalement sur ce réseaux VoIP.

     

Solution 


La vulnérabilité peut être résolue :

 
- soit en désactivant le port PC du téléphone (option "disabled port")
- soit en configurant le poste téléphonique pour filtrer les trames afin d'empêcher que l'équipement relié au port PC du téléphone puisse envoyer/recevoir du trafic vers/depuis le VLAN dédié à la Voix sur IP (option "filtered port").
 

 
Référence CVE : CVE-2007-2512
Référence CERT-TCC: CERT-TCC/Vuln.2007-290

Cert-TCC
Computer Emergency Response Team - Tunisian Coordination Center

Agence Nationale de la Sécurité Informatique
Ministère les Technologies de la Communication

Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel : 71 843 200
Numéro Vert : 80 100 267
Fax : 71 846 363
Pour vous désinscrire de cette Mailing Liste envoyer "D"  à  l'adresse suivante desabonnement@xxxxxxx 
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@xxxxxxx 
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@xxxxxxx 
 


--
Ubuntu : Linux for Human being
_____
Don't send me any attachment in Micro$oft (.DOC, .PPT) format please
Read http://www.gnu.org/philosophy/no-word-attachments.fr.html

Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/