D'une fa\u00e7on g\u00e9n\u00e9rale, tous les syst\u00e8mes utilisant une version de libmcrypt ant\u00e9rieure \u00e0 2.5.5 sont affect\u00e9s.
SuSE 7.1, 7.2, 7.3, 8.0, 8.1 ;
SuSE eMail Server 3.1, III ;
SuSE Linux Connectivity Server ;
SuSE Linux Enterprise Server 7, 8 ;
SuSE Linux Office Server ;
Debian Linux (Woody et Sid), la version stable Potato ne mettait pas ce paquetage \u00e0 disposition ;
Gentoo Linux.
","content":"## Description\n\nlibmcrypt est un ensemble de fonctions utilis\u00e9es pour le chiffrement de\ndonn\u00e9es. Cette librairie est utilis\u00e9e seulement dans quelques\napplications (notamment par les d\u00e9veloppeurs de scripts PHP).\n\nDe multiples d\u00e9bordements de m\u00e9moires dans plusieurs fonctions de\nlibmcrypt permettent \u00e0 un utilisateur local d'augmenter ses privil\u00e8ges.\n\nD'autre part, la fa\u00e7on dont libmcrypt charge les algorithmes (via la\nlibrairie libtool ou libtld selon le syst\u00e8me) dans les applications\npermanentes (serveurs web par exemple, ...), conduit \u00e0 de petites fuites\nde m\u00e9moire (lib\u00e9ration incompl\u00e8te de la m\u00e9moire apr\u00e8s chaque\nutilisation) qui peuvent aboutir \u00e0 une saturation de la m\u00e9moire.\n\n## Contournement provisoire\n\nPour les syst\u00e8me SuSE : se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9\nSuSE-SA:2003:0010 afin de conna\u00eetre la d\u00e9marche \u00e0 suivre pour contourner\nles fuites de m\u00e9moire.\n\n## Solution\n\nConsulter les bulletins de s\u00e9curit\u00e9 concernant les syst\u00e8mes affect\u00e9s\npour conna\u00eetre la disponibilit\u00e9 des correctifs.\n\nLa version 2.5.5 de libmcrypt corrige ces vuln\u00e9rabilit\u00e9s.\n\nElle est disponible \u00e0 l'adresse suivante :\n\n ftp://mcrypt.hellug.gr/pub/mcrypt/libmcrypt\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 SuSE-SA:2003:0010 de SuSE :","url":"http://www.suse.com/de/security/2003_010_libmcrypt.html"},{"title":"Le site web de mcrypt :","url":"http://mcrypt.hellug.gr/"},{"title":"La liste des mises \u00e0 jour de libmcrypt :","url":"http://cvs.hellug.gr/cgi-bin/viewcvs.cgi/mcrypt/libmcrypt/NEWS?rev=HEAD"}],"reference":"CERTA-2003-AVI-037","revisions":[{"description":"version initiale.","revision_date":"2003-03-07T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Augmentation de privil\u00e8ges en local"}],"summary":"Des d\u00e9bordements de m\u00e9moires dans plusieurs fonctions de libmcrypt\npermettent \u00e0 un utilisateur local mal intentionn\u00e9 d'augmenter ses\nprivil\u00e8ges.\n\nDes fuites de m\u00e9moires de libmcrypt permettent de saturer la m\u00e9moire\ndans des applications ex\u00e9cut\u00e9es \u00e0 distance.\n","title":"D\u00e9bordements de m\u00e9moire dans de multiples fonctions de libmcrypt sous Linux","vendor_advisories":[{"published_at":null,"title":"bulletin de s\u00e9curit\u00e9 SuSE:2003:0010 de SuSE","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 DSA-228-1 de Debian","url":"http://www.debian.org/security/2003/dsa-228"}]}