Risque

  • Exécution de code arbitraire

Systèmes affectés

PuTTY 0.x.

Résumé

Deux vulnérabilités présentes dans le logiciel PuTTY permet à un individu mal intentionné d'exécuter du code arbitraire à distance avec les droits de l'utilisateur ayant démarré PuTTY.

Description

PuTTY est une mise en œuvre libre de Telnet et SSH pour les plates-formes Windows et Linux.

Deux vulnérabilités de type débordement d'entier (integer overflow) présente dans la fonction fxp_readdir_recv() et dans la fonction sftp_pkt_getstring() permettent à un utilisateur mal intentionné, via un serveur SFTP (SSH File Tranfer Protocol) qui retourne des réponses malicieusement construites d'exécuter du code arbitraire à distance sur le système vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation