Risque
- Déni de service ;
- exécution de code arbitraire à distance.
Systèmes affectés
Toutes les versions de l2tpd.
Description
l2tpd est un service pour le protocole L2TP (Layer 2 Tunnelling Protocol).Un débordement de mémoire dans l2tpd permet à un utilisateur mal intentionné, via l'envoi d'un paquet malicieusement construit, d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de l2tpd :
http://www.l2tpd.org
- Bulletin de sécurité Debian DSA-530 du 17 juillet 2004 :
http://www.debian.org/security/2004/dsa-530
- Bulletin de sécurité Gentoo GLSA 200407-17 du 22 juillet 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200407-17.xml
- Référence CVE CAN-2004-0649 :
https://www.cve.org/CVERecord?id=CAN-2004-0649