{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"OpenBSD version 2.0 \u00e0 la version 3.1 incluse ;","product":{"name":"OpenBSD","vendor":{"name":"OpenBSD","scada":false}}},{"description":"FreeBSD jusqu'\u00e0 la version 4.6.1-RELEASE-p3 incluse ;","product":{"name":"N/A","vendor":{"name":"FreeBSD","scada":false}}},{"description":"Sun Microsystems Solaris 2.6 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Sun Microsystems Solaris 7 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Sun Microsystems Solaris 2.5.1 ;","product":{"name":"N/A","vendor":{"name":"FreeBSD","scada":false}}},{"description":"Sun Microsystems Solaris 8 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"NetBSD version 1.4.* \u00e0 la version 1.6 beta ;","product":{"name":"N/A","vendor":{"name":"NetBSD","scada":false}}},{"description":"Sun Microsystems Solaris 9 ;","product":{"name":"N/A","vendor":{"name":"FreeBSD","scada":false}}},{"description":"Toutes les versions de MIT Kerberos version 5 jusqu'\u00e0 la version krb5-1.2.5 incluse ;","product":{"name":"N/A","vendor":{"name":"FreeBSD","scada":false}}},{"description":"OpenAFS version 1.0 \u00e0 1.2.5 et version 1.3.0 \u00e0 1.3.2.","product":{"name":"N/A","vendor":{"name":"FreeBSD","scada":false}}},{"description":"Mac OS X ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nSun RPC (Remote Procedure Call) est un protocole de type client/serveur\nutilis\u00e9 pour l'impl\u00e9mentation d'applications r\u00e9parties.\n\nCelui-ci utilise de mani\u00e8re transparente le protocole XDR (eXternal Data\nRepresentation) afin de r\u00e9soudre les probl\u00e8mes de non unicit\u00e9 de\nrepr\u00e9sentation interne des objets entre diff\u00e9rentes machines.\n\nUne vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire \u00e0 \u00e9t\u00e9 d\u00e9couverte dans\nla primitive de filtrage `xdr_array` utilis\u00e9e par de nombreux services\nRPC. Un utilisateur mal intentionn\u00e9 peut exploiter cette vuln\u00e9rabilit\u00e9\nafin d'ex\u00e9cuter du code arbitraire \u00e0 distance avec les privil\u00e8ges de\nl'utilisateur `root`.\n\nCette vuln\u00e9rabilit\u00e9 est \u00e9galement pr\u00e9sente dans de nombreuses\napplications utilisant des librairies d\u00e9riv\u00e9es de la librairie Sun RPC\n(libc, glibc ou dietlibc), notamment dans certains serveurs du syst\u00e8me\nde fichiers distribu\u00e9 AFS (volserver, vlserver, ptserver, buserver) , ou\nbien le syst\u00e8me d'administration de Kerberos 5 (kadmind).\n\n## Contournement provisoire\n\nLe correctif pour `Sun solaris systems` est maintenant disponible. Il\nest toutefois conseill\u00e9 de :\n\n-   filtrer l'acc\u00e8s au RPC Portmapper (111/TCP et UDP) ;\n-   filtrer l'acc\u00e8s \u00e0 la plage des ports hauts utilis\u00e9s par les services\n    RPC ;\n-   d'arr\u00eater les services RPC non utilis\u00e9s.\n\n## Solution\n\nAppliquer le correctif selon l'\u00e9diteur (cf. Documentation).\n","cves":[],"links":[{"title":"Bulletin du CERT/CC :","url":"http://www.cert.org/advisories/CA-2002-25.html"}],"reference":"CERTA-2002-AVI-163","revisions":[{"description":"version initiale.","revision_date":"2002-08-01T00:00:00.000000"},{"description":"ajout des bulletins de s\u00e9curit\u00e9 SUN, NetBSD, SGI, MIT Kerberos et Apple.","revision_date":"2002-08-05T00:00:00.000000"},{"description":"ajout des bulletins du CERT/CC, OpenAFS et Debian.","revision_date":"2002-08-06T00:00:00.000000"},{"description":"ajout des bulletins Debian, Red Hat et SGI.","revision_date":"2002-08-19T00:00:00.000000"},{"description":"ajout du bulletin de SuSE.","revision_date":"2002-09-03T00:00:00.000000"},{"description":"correction d'un lien.","revision_date":"2002-10-17T00:00:00.000000"},{"description":"correction d'un lien.","revision_date":"2002-11-21T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans une primitive de filtrage XDR\nutilis\u00e9e dans les Sun RPC.\n","title":"Vuln\u00e9rabilit\u00e9 dans les Sun RPC","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 ISS","url":null}]}