S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 février 2008
N° CERTA-2008-AVI-093
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans sendfile sous FreeBSD

Gestion du document

Référence CERTA-2008-AVI-093
Titre Vulnérabilité dans sendfile sous FreeBSD
Date de la première version15 février 2008
Date de la dernière version15 février 2008
Source(s) Bulletin de sécurité FreeBSD-SA-08:03.sendfile du 14 février 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

FreeBSD 5.5 à 7.0.

Résumé

Une vulnérabilité dans sendfile sous FreeBSD permet à une personne malintentionné de porter atteinte à la confidentialité des données.

Description

L'appel système sendfile sous FreeBSD permet à une application serveur de transmettre le contenu d'un fichier via une connection réseau sans transiter par la mémoire de l'application.

Une vulnérabilité a été découverte : un processus peut ouvrir un fichier en écriture seule et utiliser sendfile pour envoyer son contenu via une connexion réseau. Une personne malintentionnée peut ainsi exploiter ceci pour accéder à des données qui sont confidentielles.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 février 2008
    version initiale.