Avis du CERT-FR

Objet: Vulnérabilité dans NuFW

Gestion du document

Référence	CERTA-2007-AVI-373
Titre	Vulnérabilité dans NuFW
Date de la première version	22 août 2007
Date de la dernière version	29 août 2007
Source(s)	Bulletin des mises à jour NuFW du 20 août 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité

Systèmes affectés

NuFW versions comprises entre 2.2.0 et 2.2.3 ;

Résumé

Une vulnérabilité présente dans NuFW permet de contourner la politique de sécurité.

Description

Une régression par rapport à la version 2.0 de NuFW a introduit une vulnérabilité permettant à un utilisateur distant de contourner la politique de sécurité par le biais de paquets arrivant au delà du temps escompté.

Solution

La version 2.2.4 de NuFW corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin des mises à jour NuFW du 20 août 2007

http://www.nufw.org/+NuFW-2-2-4,201+.html

Référence CVE CVE-2007-4461

https://www.cve.org/CVERecord?id=CVE-2007-4461

Gestion détaillée du document

le 22 août 2007: version initiale ;
le 29 août 2007: la vulnérabilité ne touche pas les versions 2.0.x.