Risque
- Déni de service à distance ;
- contournement de la politique de sécurité ;
- atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données.
Systèmes affectés
FreeBSD 8.0 et antérieurs.
Résumé
Plusieurs vulnérabiltiés ont été découvertes dans FreeBSD permettant, entre autre, l'élévation de privilèges.
Description
Trois vulnérabilités ont été corrigées dans différentes versions du système d'exploitation FreeBSD :
- une vulnérabilité dans OPIE permettant un déni de service à distance a été corrigée ;
- une vulnérabilité dans nfsclient permettant l'élévation de privilèges a été corrigée ;
- une vulnérabilité dans jail permettant le contournement de la politique de sécurité, l'atteinte à la confidentialité et l'intégrité des données a été corrigée.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité FreeBSD FreeBSD-SA-10:04, FreeBSD-SA-10:05 et FreeBSD-SA-10:06 du 27 mai 2010 :
http://security.freebsd.org/advisories/FreeBSD-SA-10:04.jail.asc
http://security.freebsd.org/advisories/FreeBSD-SA-10:05.opie.asc
http://security.freebsd.org/advisories/FreeBSD-SA-10:06.nfsclient.asc
- Référence CVE CVE-2010-1938 :
https://www.cve.org/CVERecord?id=CVE-2010-1938
- Référence CVE CVE-2010-2020 :
https://www.cve.org/CVERecord?id=CVE-2010-2020
- Référence CVE CVE-2010-2022 :
https://www.cve.org/CVERecord?id=CVE-2010-2022