Avis du CERTA : Vulnérabilité dans Syslog-ng
décembre 2007 par CERT-FR
1 Risque
Déni de service à distance.
2 Systèmes affectés
* Syslog-ng Open Source Edition versions antérieures à 2.0.6 ;
* Syslog-ng Premium Edition versions antérieures à 2.1.8.
3 Résumé
Une vulnérabilité dans Syslog-ng permet de réaliser un déni de service à
distance.
4 Description
Un défaut de contrôle des informations traitées par Syslog-ng permet à un
utilisateur distant de réaliser un déni de service par le biais d’un message
spécialement construit.
5 Solution
Les versions 2.0.6 de Syslog-ng Open Source Edition et 2.1.8 de Syslog-ng
Premium Edition corrigent le problème. Se référer au site officiel de l’éditeur
pour l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Site officiel de Syslog-ng :
http://www.balabit.com/network-security/syslog-ng/
* Référence CVE CVE-2007-6437 :