S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 août 2006
N° CERTA-2006-AVI-370
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans ppp

Gestion du document

Référence CERTA-2006-AVI-370
Titre Vulnérabilité dans ppp
Date de la première version24 août 2006
Date de la dernière version24 août 2006
Source(s) Bulletin de sécurité Ubuntu USN-310-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

ppp versions 2.4.3 et antérieures.

Résumé

Une vulnérabilité dans ppp permet à un utilisateur local d'élever ses privilèges sur le système vulnérable.

Description

Un manque de contrôle de la valeur de retour de la fonction setuid() dans l'extension winbind du service pppd de ppp permet à un utilisateur local d'élever ses privilèges.

Solution

La version 2.4.4 de ppp corrige le problème :

ftp://ftp.samba.org/pub/ppp/

Documentation

Gestion détaillée du document

    le 24 août 2006
    version initiale.