Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la fonction ktrace() de FreeBSD, afin
d’obtenir des informations sensibles.

Produits concernés : FreeBSD

Gravité : 1/4

Date création : 04/06/2014

DESCRIPTION DE LA VULNÉRABILITÉ

La fonction ktrace() permet de tracer des évènements, afin par
exemple de déboguer un programme.

Cependant, le fichier sys/kern/kern_ktrace.c n’initialise pas le
dernier champ du tableau data_lengths, qui contient KTR_FAULTEND
(end of page fault). Lorsqu’une erreur de page se produit, la
fonction ktrace() peut alors retourner trop de données.

Un attaquant peut donc employer la fonction ktrace() de FreeBSD,
afin d’obtenir des informations sensibles.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/FreeBSD-obtention-d-information-via-ktrace-14839