S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 janvier 2004
N° CERTA-2004-AVI-011
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur de news INN d'ISC

Gestion du document

Référence CERTA-2004-AVI-011
Titre Vulnérabilité du serveur de news INN d'ISC
Date de la première version16 janvier 2004
Date de la dernière version16 janvier 2004
Source(s) Avis de sécurité SSA:2004-014-02 de slackware
Note VU#759020 du CERT/CC
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

INN version 2.4.0.

Résumé

Une vulnérabilité présente dans le serveur de news innd livré avec le paquetage INN (InterNetNews) d'ISC (Internet Software Consortium) peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire sur la plate-forme vulnérable.

Description

Une vulnérabilité de type débordement de mémoire est présente dans la routine ARTpost() du serveur de news innd.

Un utilisateur mal intentionné peut exploiter cette vulnérabilité à distance afin d'exécuter du code arbitraire sur la plate-forme vulnérable avec les privilèges du service innd.

Solution

La version 2.4.1 de INN corrige cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 16 janvier 2004
    version initiale.