Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
Systèmes affectés
- Mono versions 1.2.5.1 et antérieures pour Windows (CVE-2007-5473);
- Mono versions antérieures à 1.2.5.1 (CVE-2007-5197).
Résumé
Deux vulnérabilités ont été découvertes dans Mono permettant d'exécuter du code arbitraire et d'atteindre à la confidentialité des données.
Description
Deux failles ont été découvertes dans Mono :
- la première vulnérabilité affecte toutes les versions 1.x (antérieures à 1.2.5.1) de Mono. Elle permet l'exécution de code arbitraire (CVE-2007-5197) ;
- la seconde vulnérabilité n'affecte que les versions 1.x (antérieures à 1.2.5.2) pour Windows de Mono. Elle permet d'accéder au code source de certains fichiers (CVE-2007-5473).
Solution
Installer la version 1.2.5.1 ou la version 1.2.5.2 selon la plate-forme utilisée (cf. section Documentation).
Documentation
- Bulletin de sécurité Mono http://www.mono-project.com/Vulnerabilities#BigInteger_unsafe_code_overflow
- Bulletin de sécurité Debian DSA 1397 du 03 novembre 2007 : http://www.debian.org/security/2007/dsa-1397
- Bulletin de sécurité Gentoo GLSA-200711-10 du 07 novembre 2007 : http://www.gentoo.org/security/en/glsa/glsa-200711-10.xml
- Téléchargement de Mono : http://www.mono-project.com/Downloads
- Référence CVE CVE-2007-5197 https://www.cve.org/CVERecord?id=CVE-2007-5197
- Référence CVE CVE-2007-5473 https://www.cve.org/CVERecord?id=CVE-2007-5473
