Avis du CERT-FR

Objet: Vulnérabilité dans ppp

Gestion du document

Référence	CERTA-2006-AVI-370
Titre	Vulnérabilité dans ppp
Date de la première version	24 août 2006
Date de la dernière version	24 août 2006
Source(s)	Bulletin de sécurité Ubuntu USN-310-1
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges.

Systèmes affectés

ppp versions 2.4.3 et antérieures.

Résumé

Une vulnérabilité dans ppp permet à un utilisateur local d'élever ses privilèges sur le système vulnérable.

Description

Un manque de contrôle de la valeur de retour de la fonction setuid() dans l'extension winbind du service pppd de ppp permet à un utilisateur local d'élever ses privilèges.

Solution

La version 2.4.4 de ppp corrige le problème :

ftp://ftp.samba.org/pub/ppp/

Documentation

Bulletin de sécurité Debian DSA 1106 du 10 juillet 2006 :
```
http://www.debian.org/security/dsa-1106
```
Bulletin de sécurité Mandriva MDKSA-2006:119 du 10 juillet 2006 :
```
http://www.mandriva.com/security/advisories?name=MDKSA-2006:119
```
Bulletin de sécurité Ubuntu USN-310-1 du 10 juillet 2006 :
```
http://www.ubuntulinux.org/usn/usn-310-1
```

Référence CVE CVE-2006-2194 :

https://www.cve.org/CVERecord?id=CVE-2006-2194

Gestion détaillée du document

le 24 août 2006: version initiale.