S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 juillet 2003
N° CERTA-2003-AVI-130
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de l'application Stunnel

Gestion du document

Référence CERTA-2003-AVI-130
Titre Vulnérabilité de l'application Stunnel
Date de la première version31 juillet 2003
Date de la dernière version31 juillet 2003
Source(s) Avis de sécurité RedHat RHSA-2003:221-01
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

Stunnel versions 3.24 et antérieures et versions 4.03 et antérieures.

Résumé

Une vulnérabilité de l'application Stunnel permet à un utilisateur mal intentionné de provoquer un déni de service.

Description

Stunnel est une application utilisée pour encapsuler des connexions réseau. Elle permet de créer un tunnel sécurisé en utilisant SSL/TLS.

Lorsque l'application Stunnel est en écoute des connexions entrantes (sans être invoquée par xinetd), elle peut être configurée pour lancer soit un fil d'exécution (thread), soit un processus fils. Dans le second cas, un signal SIGCHLD sera reçu lorsque le processus fils sera lancé.

Une mauvaise gestion des signaux SIGCHLD par l'application permet à un utilisateur mal intentionné de provoquer un déni de service.

Solution

Appliquer le correctif de votre éditeur.

Documentation

Gestion détaillée du document

    le 31 juillet 2003
    version initiale.