Risque

  • Déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

syslog-ng Open Source Edition :

  • versions 3.0.x antérieures à la version 3.0.10 ;
  • versions 3.1.x antérieures à la version 3.1.4 ;
  • versions 3.2.x antérieures à la version 3.2.2.

syslog-ng Premium Edition :

  • versions 3.0.x antérieures à la version 3.0.6a ;
  • versions 3.2.x antérieures à la version 3.2.1a.

Résumé

Plusieurs vulnérabilités sont présentes dans syslog-ng. Elles permettent de contourner la politique de sécurité ou de provoquer un déni de service à distance.

Description

Plusieurs vulnérabilités sont présentes dans syslog-ng.

L'une d'elles permet de contourner la politique de sécurité en raison d'un mauvais positionnement des droits d'accès sur des fichiers.

Les autres sont exploitables pour provoquer un déni de service à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation