Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
syslog-ng Premium Edition 3.0.x, 3.2.x et 4.0.x.
Résumé
Plusieurs vulnérabilités dans syslog-ng permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ou de contourner la politique de sécurité.
Description
Plusieurs vulnérabilités sont présentes dans syslog-ng Premium Edition :
- des débordements d'entiers dans la version utilisée de la bibliothèque GLib permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance ;
- des erreurs dans la version utilisée de la bibliothèque OpenSSL permettent à un utilisateur malveillant de contourner la politique de sécurité.
Solution
Les versions 3.0.7a, 3.2.1b et 4.0.1a de syslog-ng Premium Edition corrigent ces problèmes.
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonces des versions de syslog-ng du 24 février 2011 https://lists.balabit.com/pipermail/syslog-ng-announce/2011-February/000111.html
- Référence CVE CVE-2008-4316 https://www.cve.org/CVERecord?id=CVE-2008-4316
- Référence CVE CVE-2008-7270 https://www.cve.org/CVERecord?id=CVE-2008-7270
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
- Référence CVE CVE-2010-4180 https://www.cve.org/CVERecord?id=CVE-2010-4180
