1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-09 / cyrus-sasl |
| Date de Parution | 21 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| dev-libs/cyrus-sasl | < 2.1.21-r2 | >= 2.1.21-r2 | Toutes |
3. Synopsis
Cyrus-SASL contient une vulnérabilité dans son traitement des DIGEST-MD5 pouvant entraîner un déni de service.
4. Informations
Cyrus-SASL est une implementation du protocole SASL (Simple Authentication, Security Layer).
5. Description
Cyrus-SASL contient une faille non détaillée dans sa gestion des DIGEST-MD5 pouvant être utilisée pour causer une interruption de service.
6. Impact de la faille
En envoyant au serveur Cyrus-SASL un flux de données spécifiquement forgé il est possible pour un attaquant distant de causer un déni de service sur le serveur, et ce même si l'attaquant n'est pas en mesure de s'authentifier.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommande aux utilisateurs de Cyrus-SASL de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=dev-libs/cyrus-sasl-2.1.21-r2"
9. Références