Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Linux Kiss Server log_message() : Vulnérabilité de Format de Chaînes

05/03/2008 12H19
Référence Secunia : SA29219 
Date de publication : 2008-03-05

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Accès au système
Lieu : Depuis le réseau local


Solutions :
Non corrigée


Produit :
Linux Kiss Server 1.x


Description :
vashnukad a découvert une vulnérabilité dans Linux Kiss Server, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de format de chaînes dans la fonction "log_message()" dans lks.c. Cela pourrait être exploité par ex. en envoyant a command contenant des spécificateurs de format de chaîne au serveur affecté.

L'exploitation de ce problème pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

La vulnérabilité est confirmée en version 1.2. Les autres versions pourraient également être affectées.


Solutions :
Restreindre l'accès à des utilisateurs de confiance seulement.


Vulnérabilité découverte par :

vashnukad

Référence :
http://lists.grok.org.uk/pipermail/full-disclosure/2008-March/060550.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.