Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Noyau Linux, divulgation d’information via snd_seq_oss_synth_make_info

août 2008 par Vigil@nce

SYNTHÈSE

Un attaquant local peut utiliser une vulnérabilité de la fonction "snd_seq_oss_synth_make_info" pour divulguer des informations contenues dans la machine.

Gravité : 1/4

Conséquences : lecture de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 07/08/2008

Référence : VIGILANCE-VUL-8003

PRODUITS CONCERNÉS

- Linux noyau [versions confidentielles]

DESCRIPTION

OSS (Open Sound System) est un pilote de carte son pour noyau linux.

OSS utilise la fonction "snd_seq_oss_synth_make_info" définie dans le fichier sound/core/seq/oss/seq_oss_synth.c afin d’initialiser le pilote.

Cette fonction ne vérifie pas si le numéro de matériel est valide (compris entre 0 et le nombre maximum de matériel MIDI/synthétiseur).

Un attaquant peut donc utiliser cette fonction pour récupérer des informations sur la machine de la victime.

CARACTÉRISTIQUES

Références : BID-30559, CVE-2008-3272, VIGILANCE-VUL-8003

https://vigilance.aql.fr/arbre/1/8003




Voir les articles précédents

    

Voir les articles suivants