CERTA : Vulnérabilité dans FreeBSD
décembre 2007 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
* FreeBSD versions 5.5 et antérieures ;
* FreeBSD versions 6.2 et antérieures ;
3 Résumé
Une vulnérabilité dans FreeBSD permet à un utilisateur de contourner la
politique de sécurité du système.
4 Description
Une vulnérabilité dans le générateur d’aléa de FreeBSD mis en ?uvre par les
périphériques /dev/random et /dev/urandom permet à un utilisateur malveillant,
dans certaines circonstances, de tirer à nouveau le même aléa de façon
prédictible. Ceci pourrait mettre en défaut les applications se basant sur
cette aléa pour effectuer des opérations de chiffrement ou de hâchage.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité FreeBSD SA-07:09.random du 29 novembre 2007 :
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:09.random.asc