Vigil@nce : RSyslog, contournement des ACL
décembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut contourner les ACL de RSyslog afin de mener un
déni de service.
Gravité : 2/4
Conséquences : création/modification de données
Provenance : client intranet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 22/12/2008
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION
Le démon RSyslog est un service de journalisation syslogd. Il
comporte deux vulnérabilités.
La variable $AllowedSender restreint la liste de clients autorisés
à se connecter sur RSyslog. Suite à une modification de code, la
variable a été dupliquée. La variable définie par l’administrateur
est alors différente de la variable réellement utilisée pour créer
les ACLs. Tous les clients sont alors autorisés à se connecter sur
RSyslog. [grav:2/4 ; CVE-2008-5617]
Un attaquant peut se connecter à RSyslog et le forcer à
journaliser des messages imudp, afin de remplir le système de
fichiers. [grav:1/4 ; CVE-2008-5618]
Un attaquant peut donc contourner les ACL de RSyslog afin de mener
un déni de service.
CARACTÉRISTIQUES
Références : CVE-2008-5617, CVE-2008-5618, FEDORA-2008-11476, FEDORA-2008-11538, VIGILANCE-VUL-8350