Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Ethereal versions 0.8.5 à 0.10.14.
Description
Plusieurs vulnérabilités ont été découvertes dans Ethereal. Ces vulnérabilités sont dues à différents types d'erreurs (erreurs aux limites, boucle infinie, ...) dans le gestionnaire de protocoles.
L'exploitation de ces vulnérabilités conduit à des effets divers parmi lesquels :
- déni de service de l'outil;
- déni de service de la machine;
- exécution de code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Avaya ASA-2006-128 du 30 juin 2006 : http://support.avaya.com/elmodocs2/security/ASA-2006-128.htm
- Bulletin de sécurité Debian DSA-1049 du 02 mai 2006 : http://www.debian.org/security/2006/dsa-1049
- Bulletin de sécurité Gentoo GLSA 200604-17 du 27 avril 2006 : http://www.gentoo.org/security/en/glsa/glsa-200604-17.xml
- Bulletin de sécurité Mandriva MDKSA-2006:077 du 25 avril 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:077
- Bulletin de sécurité RedHat RHSA-2006:0420 du 03 mai 2006 : http://rhn.redhat.com/errata/RHSA-2006-0420.html
- Bulletin de sécurité Suse SUSE-SR:2006:10 du 12 mai 2006 : http://lists.suse.com/archive/suse-security/announce/2006-May/0004.html
- Pages de remontée de vulnérabilité d'Ethereal : http://www.ethereal.com/docs/release-notes/ethereal-0.99.0.html
- Pages de remontée de vulnérabilité d'Ethereal : http://www.ethereal.com/appnotes/enpa-sa-00023.html
- Référence CVE CVE-2006-1932 https://www.cve.org/CVERecord?id=CVE-2006-1932
- Référence CVE CVE-2006-1933 https://www.cve.org/CVERecord?id=CVE-2006-1933
- Référence CVE CVE-2006-1934 https://www.cve.org/CVERecord?id=CVE-2006-1934
- Référence CVE CVE-2006-1935 https://www.cve.org/CVERecord?id=CVE-2006-1935
- Référence CVE CVE-2006-1936 https://www.cve.org/CVERecord?id=CVE-2006-1936
- Référence CVE CVE-2006-1937 https://www.cve.org/CVERecord?id=CVE-2006-1937
- Référence CVE CVE-2006-1938 https://www.cve.org/CVERecord?id=CVE-2006-1938
- Référence CVE CVE-2006-1939 https://www.cve.org/CVERecord?id=CVE-2006-1939
- Référence CVE CVE-2006-1940 https://www.cve.org/CVERecord?id=CVE-2006-1940