S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 décembre 2003
N° CERTA-2003-AVI-203
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Stunnel

Gestion du document

Référence CERTA-2003-AVI-203
Titre Vulnérabilité dans Stunnel
Date de la première version01 décembre 2003
Date de la dernière version01 décembre 2003
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Usurpation du service légitme par un utilisateur local

Systèmes affectés

Stunnel versions :

  • antérieures à et incluant la 3.24,
  • 4.00.

Résumé

Un serveur habilement construit, lancé par l'intermédiaire de Stunnel, peut arriver à remplacer ce dernier en écoute. Il est alors possible pour le propriétaire du serveur d'attenter à la confidentialité des échanges normalement sécurisés par Stunnel (mots de passe,...).

Description

Stunnel est un programme permettant de sécuriser une connexion réseau TCP en créant un tunnel SSL/TLS.

Une mauvaise gestion des descripteurs de fichiers sensibles permet à un utilisateur local mal intentionné de remplacer le service Stunnel par le sien. Un exploit est disponible.

Solution

Mettre à jour Stunnel.

  • Sources 3.26 ou 4.04 au moins :

    http://stunnel.mirt.net/downloads.html

  • RedHat Linux

    http://rhn.redhat.com/errata/RHSA-2003-297.html

  • Mandrake Linux

    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:108

Gestion détaillée du document

    le 01 décembre 2003
    version initiale.