Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- OpenSolaris sur SPARC de svn_01 à svn _125 ;
- OpenSolaris sur x86 de svn_01 à svn_125.
- Solaris 10 sur SPARC sans le patch 125215-03 ;
- Solaris 10 sur x86 sans le patch 125216-03 ;
- Solaris 9 sur SPARC avec le patch 125326-01 ;
- Solaris 9 sur x86 avec le patch 125327-01 ;
- wget versions antérieures à la version 1.12 ;
Résumé
Une vulnérabilité permettant de contourner la politique de sécurité a été découverte dans wget.
Description
Une vulnérabilité a été découverte dans wget. Cette vulnérabilité est due à une mauvaise interprétation de certains caractères dans un certificat SSL. L'exploitation de cette vulnérabilité permet à un utilisateur malintentionné de contournée la politique de confidentialité induite par l'utilisation de SSL.
Note : certains logiciels, en particulier certains gestionnaires de téléchargement, peuvent se servir d'une version non corrigée de wget.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1904 du 09 octobre 2009 : http://www.debian.org/security/2009/dsa-1904
- Bulletin de sécurité Sun 1-66-273590-1 du 2 décembre 2009 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-273590-1
- Bulletin de sécurité Ubuntu USN-842 du 06 octobre 2009 : http://www.ubuntu.com/usn/USN-842-1
- notes de changements de wget du 27 août 2009 : http://hg.addictivecode.org/wget/mainline/rev/1eab157d3be7
- Référence CVE CVE-2009-3490 https://www.cve.org/CVERecord?id=CVE-2009-3490
