Risque
- Execution de code arbitraire ;
- déni de service.
Systèmes affectés
OpenSLP versions 1.x antérieures à la version 1.2.1.Résumé
Plusieurs vulnérabilités présentes dans OpenSLP peuvent être exploitées par un utilisateur mal intentionné pour réaliser un déni de service ou exécuter du code arbitraire à distance sur un système vulnérable.
Description
Plusieurs débordements de mémoire ont été découverts dans OpenSLP. Un utilisateur mal intentionné peut, via des paquets SLP (Service Location Protocol) malicieusement construits, réaliser un déni de service ou exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documention).
Documentation
- Site de SUSE :
http://www.suse.com
- Mise à jour en version 1.2.1 :
http://sourceforge.net/project/showfiles.php?group_id=1730
- Bulletin de sécurité SUSE :
http://www.novell.com/linux/security/advisories/2005_15_openslp.html
- Bulletin de sécurité Mandrake MDKSA-2005:055 du 15 mars 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:055
- Bulletin de sécurité Gentoo GLSA 200503-25 du 20 mars 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200503-25.xml