CERTA : Vulnérabilités dans Mono
novembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire ;
* atteinte à la confidentialité des données.
2 Systèmes affectés
* Mono versions 1.2.5.1 et antérieures pour Windows (CVE-2007-5473) ;
* Mono versions antérieures à 1.2.5.1 (CVE-2007-5197).
3 Résumé
Deux vulnérabilités ont été découvertes dans Mono permettant d’exécuter du code
arbitraire et d’atteindre à la confidentialité des données.
4 Description
Deux failles ont été découvertes dans Mono :
* la première vulnérabilité affecte toutes les versions 1.x (antérieures à
1.2.5.1) de Mono. Elle permet l’exécution de code arbitraire
(CVE-2007-5197) ;
* la seconde vulnérabilité n’affecte que les versions 1.x (antérieures à
1.2.5.2) pour Windows de Mono. Elle permet d’accéder au code source de
certains fichiers (CVE-2007-5473).
5 Solution
Installer la version 1.2.5.1 ou la version 1.2.5.2 selon la plate-forme
utilisée (cf. section Documentation).
6 Documentation
* Bulletin de sécurité Mono :
http://www.mono-project.com/Vulnerabilities#BigInteger_unsafe_code_overflow
* Téléchargement de Mono :
http://www.mono-project.com/Downloads
* Bulletin de sécurité Debian DSA 1397 du 03 novembre 2007 :
http://www.debian.org/security/2007/dsa-1397
* Bulletin de sécurité Gentoo GLSA-200711-10 du 07 novembre 2007 :
http://www.gentoo.org/security/en/glsa/glsa-200711-10.xml
* Référence CVE CVE-2007-5197 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5197
* Référence CVE CVE-2007-5473 :