[AlternC-dev] [Alerte] Problème de sécurité, 3.1.3 / 3.2.3 prévu très bientôt

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Benjamin Sonntag benjamin at sonntag.fr
Mar 25 Nov 16:09:12 CET 2014


Bonjour,

Suite à une remontée de 2 problèmes potentiels de sécurité sur AlternC 3.x (toutes version 3), une release urgente des 3.1 et 3.2 est prévue.

Le risque actuel est :

- un attaquant écoutant passivement le réseau peut deviner un mot de passe généré à la demande par AlternC, y compris sur un panel HTTPS

- une escalade de droit permettrait (pas d'exploit connu à ce jour cependant) à un utilisateur *normal* d'AlternC (ayant un compte non admin) de lancer des commandes en shell en tant que alterncpanel.

Ces 2 problèmes ont été corrigés et une version 3.1.3 pour Squeeze et 3.2.3 pour Wheezy seront publiées ce soir.

Pour pallier au problème de l'escalade des droits, il suffit de mettre à 0 les quotas de tâches planifiées des utilisateurs d'AlternC.

Nous remercions Antoine Beaupré pour sa remontée de bug, et vous tenons au courant de la sortie à venir,


Librement,

Benjamin Sonntag
AlternC, Octopuce


Plus d'informations sur la liste de diffusion Dev