Avis du CERT-FR

Objet: Vulnérabilité de l2tpd

Gestion du document

Référence	CERTA-2004-AVI-248
Titre	Vulnérabilité de l2tpd
Date de la première version	19 juillet 2004
Date de la dernière version	22 juillet 2004
Source(s)	Bulletin de sécurité Debian DSA-530 du 17 juillet 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Déni de service
Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions de l2tpd.

Description

l2tpd est un service pour le protocole L2TP (Layer 2 Tunnelling Protocol).
Un débordement de mémoire dans l2tpd permet à un utilisateur mal intentionné, via l'envoi d'un paquet malicieusement construit, d'exécuter du code arbitraire à distance sur la plate-forme vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA-530 du 17 juillet 2004

http://www.debian.org/security/2004/dsa-530

Bulletin de sécurité Gentoo GLSA 200407-17 du 22 juillet 2004 :

http://www.gentoo.org/security/en/glsa/glsa-200407-17.xml

Site Internet de l2tpd :

http://www.l2tpd.org

Gestion détaillée du document

le 19 juillet 2004: version initiale.
le 22 juillet 2004: ajout de la référence au bulletin de sécurité Gentoo.