SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Gentoo Multiple ebuilds ssl-cert eclass docert() : Faille de Sécurité
20/03/2008 11H06 Référence Secunia : SA29436 Date de publication : 2008-03-20
Risque : Non Critique. Niveau 2 sur 5. Impact : Exposition de données sensibles Lieu : A distance
Solutions :
Correctif de l'éditeur
OS :
Gentoo Linux 1.x
Référence CVE :
CVE-2008-1383
Description :
Gentoo a reconnu une faille de sécurité dans plusieurs ebuilds, qui peuvent déboucher sur la divulgation d'informations sensibles.
Le problème de sécurité est causé du fait que le ebuilds appelant la fonction "docert()" de l'eclass ssl-cert depuis le source building state. Ceci conduit à des certificats SSL sensibles étant inclus dans le paquetage généré, qui pourrait être exploitée par des attaquants à extraire les clés et s'appuyer dessus pour d'autres attaques.
L'exploitation de ce problème requière l'accès à un paquetage binaire built avec le "--buildpkg" ou "--buildpkgonly" options.
Les ebuilds suivants sont affectés:
* app-admin/conserver précédente à 8.1.16
* mail-mta/postfix précédente à 2.4.6-r2
* net-ftp/netkit-ftpd précédente à 0.17-r7
* net-im/ejabberd précédente à 1.1.3
* net-irc/unrealircd précédente à 3.2.7-r2
* net-mail/cyrus-imapd précédente à 2.3.9-r1
* net-mail/dovecot précédente à 1.0.10
* net-misc/stunnel 4.x précédente à 4.21-r
* net-nntp/inn précédente à 2.4.3-r1
Solutions :
Retirer certificats SSL généré par portage et generate nouveaux paquetages en utilisant mise à jour ebuilds. Veuillez voir le bulletin de l'éditeur pour plus d'informations.
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS