Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
- FreeBSD versions 6.4 et antérieures.
- FreeBSD versions 7.2 et antérieures ;
- FreeBSD versions 8.0 ;
Résumé
De multiples vulnérabilités ont été découvertes dans FreeBSD. L'exploitation de ces vulnérabilités permet d'effectuer des actions diverses pouvant aller jusqu'à l'élévation de privilèges.
Description
Trois vulnérabilités ont été corrigées dans différentes versions du système d'exploitation FreeBSD :
- la première concerne une mauvaise gestion des sessions SSL et permet de contourner la politique de sécurité ;
- la deuxième concerne une mauvaise gestion des variables au niveau de l'éditeur de lien temps réel et permet de réaliser une élévation de privilèges ;
- la dernière concerne une mauvaise gestion du répertoire utilisé par le système de mise à jour et permet de porter atteinte à la confidentialité des données.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de mise à jour FreeBSD-SA-09:15.ssl du 03 décembre 2009 http://security.freebsd.org/advisories/FreeBSD-SA-09:15.ssl
- Bulletin de mise à jour FreeBSD-SA-09:16.rtld du 03 décembre 2009 : http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld
- Bulletin de mise à jour FreeBSD-SA-09:17.freebsd-update du 03 décembre 2009 : http://security.freebsd.org/advisories/FreeBSD-SA-09:17.freebsd-update
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
- Référence CVE CVE-2009-4146 https://www.cve.org/CVERecord?id=CVE-2009-4146
- Référence CVE CVE-2009-4147 https://www.cve.org/CVERecord?id=CVE-2009-4147
