CERTA-2009-AVI-528
Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans FreeBSD. L'exploitation de ces vulnérabilités permet d'effectuer des actions diverses pouvant aller jusqu'à l'élévation de privilèges.

Description

Trois vulnérabilités ont été corrigées dans différentes versions du système d'exploitation FreeBSD :

  • la première concerne une mauvaise gestion des sessions SSL et permet de contourner la politique de sécurité ;
  • la deuxième concerne une mauvaise gestion des variables au niveau de l'éditeur de lien temps réel et permet de réaliser une élévation de privilèges ;
  • la dernière concerne une mauvaise gestion du répertoire utilisé par le système de mise à jour et permet de porter atteinte à la confidentialité des données.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
FreeBSD N/A FreeBSD versions 8.0 ;
FreeBSD N/A FreeBSD versions 6.4 et antérieures.
FreeBSD N/A FreeBSD versions 7.2 et antérieures ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "FreeBSD versions 8.0 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "FreeBSD",
          "scada": false
        }
      }
    },
    {
      "description": "FreeBSD versions 6.4 et ant\u00e9rieures.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "FreeBSD",
          "scada": false
        }
      }
    },
    {
      "description": "FreeBSD versions 7.2 et ant\u00e9rieures ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "FreeBSD",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nTrois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans diff\u00e9rentes versions du\nsyst\u00e8me d\u0027exploitation FreeBSD :\n\n-   la premi\u00e8re concerne une mauvaise gestion des sessions SSL et permet\n    de contourner la politique de s\u00e9curit\u00e9 ;\n-   la deuxi\u00e8me concerne une mauvaise gestion des variables au niveau de\n    l\u0027\u00e9diteur de lien temps r\u00e9el et permet de r\u00e9aliser une \u00e9l\u00e9vation de\n    privil\u00e8ges ;\n-   la derni\u00e8re concerne une mauvaise gestion du r\u00e9pertoire utilis\u00e9 par\n    le syst\u00e8me de mise \u00e0 jour et permet de porter atteinte \u00e0 la\n    confidentialit\u00e9 des donn\u00e9es.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-4146",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-4146"
    },
    {
      "name": "CVE-2009-4147",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-4147"
    },
    {
      "name": "CVE-2009-3555",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-3555"
    }
  ],
  "initial_release_date": "2009-12-03T00:00:00",
  "last_revision_date": "2009-12-03T00:00:00",
  "links": [
    {
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:15.ssl du 03 d\u00e9cembre    2009",
      "url": "http://security.freebsd.org/advisories/FreeBSD-SA-09:15.ssl"
    },
    {
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:17.freebsd-update du    03 d\u00e9cembre 2009 :",
      "url": "http://security.freebsd.org/advisories/FreeBSD-SA-09:17.freebsd-update"
    },
    {
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:16.rtld du 03    d\u00e9cembre 2009 :",
      "url": "http://security.freebsd.org/advisories/FreeBSD-SA-09:16.rtld"
    }
  ],
  "reference": "CERTA-2009-AVI-528",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-12-03T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans FreeBSD.\nL\u0027exploitation de ces vuln\u00e9rabilit\u00e9s permet d\u0027effectuer des actions\ndiverses pouvant aller jusqu\u0027\u00e0 l\u0027\u00e9l\u00e9vation de privil\u00e8ges.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s des syst\u00e8mes FreeBSD",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:16.rtld du 03 d\u00e9cembre 2009",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:17.freebsd-update du 03 d\u00e9cembre 2009",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de mise \u00e0 jour FreeBSD-SA-09:15.ssl du 03 d\u00e9cembre 2009",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.