Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- FileZilla 2.x ;
- FileZilla 3.x.
- GnuTLS 1.x ;
- GnuTLS 2.x ;
Résumé
De multiples vulnérabilités ont été découvertes dans GnuTLS et permettent à une personne malveillante d'effectuer un déni de service ou une exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités de GnuTLS permettent à une personne malveillante d'effectuer un déni de service ou une exécution de code à distance. Ces vulnérabilités peuvent être exploitées via :
- des messages Client Hello dans des packets TLS spécialement conçus ;
- des données TLS chiffrées spécialement conçues exploitant une erreur dans la fonction _gnutls_ciphertext2compressed().
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1581 du 20 mai 2008 : http://www.debian.org/security/2008/dsa-1581
- Bulletin de sécurité Gentoo GLSA-200805-20 du 21 mai 2008 : http://www.gentoo.org/security/en/glsa/glsa-200805-20.xml
- Bulletin de sécurité RedHat RHSA-2008:0489 du 20 mai 2008 : http://rhn.redhat.com/errata/RHSA-2008-0489.html
- Bulletin de sécurité RedHat RHSA-2008:0492 du 20 mai 2008 : http://rhn.redhat.com/errata/RHSA-2008-0492.html
- Bulletin de sécurité Ubuntu USN-613-1 du 21 mai 2008 : http://www.ubuntu.com/usn/usn-613-1
- Note de version FileZilla 3.010 du 20 mai 2008 : http://sourceforge.net/project/shownotes.php?release_id=600646
- Note de version GnuTLS 2.2.5 du 19 mai 2008 : http://lists.gnu.org/archive/html/gnutls-devel/2008-05/msg00060.html
- Site de téléchargement du projet FileZilla : http://sourceforge.net/project/showfiles.php.group_id=21558
- Référence CVE CVE-2008-1948 https://www.cve.org/CVERecord?id=CVE-2008-1948
- Référence CVE CVE-2008-1949 https://www.cve.org/CVERecord?id=CVE-2008-1949
- Référence CVE CVE-2008-1950 https://www.cve.org/CVERecord?id=CVE-2008-1950
