Vulnérabilité dans Openconnect pour Debian
Date de publication :
Une vulnérabilité de type dépassement de tampon (buffer overflow) a été découverte dans OpenConnect, une application open source permettant la connexion à des réseaux privés virtuels (VPN), pour les versions antérieures à la 8.05.
CVE-2019-16239 [Score CVSS v3 : 9.8] : Un serveur malicieux utilisant un encodage HTTP en bloc (chunked HTTP encoding) avec des tailles de bloc spécialement conçues peut provoquer un dépassement de tampon sur Openconnect.
Un attaquant ayant exploité la vulnérabilité avec succès pourrait exécuter du code arbitraire sur un système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- Openconnect versions antérieures à 8.05
CVE
- CVE-2019-16239
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les paquets openconnect
- Pour les distributions stretch 7.08-1+deb9u1 et buster 8.02-1+deb10u1, le problème a été corrigé
Solution de contournement
- Aucune solution de contournement n’a été proposée