S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juillet 2004
N° CERTA-2004-AVI-234-001
Affaire suivie par: CERT-FR
le 09 juillet 2004

Avis du CERT-FR

Objet: Faille dans le serveur SSLtelnet

Gestion du document

Référence CERTA-2004-AVI-234-001
Titre Faille dans le serveur SSLtelnet
Date de la première version 09 juillet 2004
Date de la dernière version 19 juillet 2004
Source(s) Avis de sécurité iDefense
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Systèmes FreeBSD avec SSLtelnet, versions jusqu'à la version 0.13_1.

Résumé

Une faille a été identifiée dans le code source du serveur SSLtelnet. Elle permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine hôte.

Description

SSLtelnet est un serveur telnet activant l'encapsulation de la communication dans un tunnel SSL/TLS. Il est lancé sur la machine hôte par l'intermédiaire du serveur inetd. Une faille liée à une mauvaise utilisation d'une chaîne de format peut être exploitée pour exécuter du code avec les privilèges du service - root dans la configuration installée -.

Contournement provisoire

  • Arrêter le service en commentant la ou les ligne(s) concernée(s) dans le fichier de configuration du serveur inetd et en relançant ce dernier ;
  • ou restreindre l'accès à ce service à des machines de confiance avec des règles de filtrage.

Solution

Ce serveur n'étant manifestement plus maintenu activement (disparition du site d'hébergement en 2000), il est fortement recommandé d'utiliser une autre solution.

Documentation

Gestion détaillée du document

    le 09 juillet 2004
    version initiale.
    le 19 juillet 2004
    ajout des références aux bulletins de sécurité Debian et FreeBSD.