Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant contrôlant un fichier de configuration de libproxy
peut faire utiliser un format illicite afin d’exécuter du code.

– Produits concernés : Unix (plateforme)
– Gravité : 2/4
– Date création : 29/11/2012

DESCRIPTION DE LA VULNÉRABILITÉ

La bibliothèque libproxy est utilisée pour encapsuler les détails
de la configuration des proxy dans les programmes clients du proxy.

Dans certaines circonstances, la configuration décodée est
affichée à l’aide des routines de formatage de la bibliothèque
standard C, dans la routine print_proxies(). Cependant, le contenu
de la configuration est utilisé directement comme format pour
printf(), ce qui permet à l’attaquant d’injecter du code.

Un attaquant contrôlant un fichier de configuration de libproxy
peut donc faire utiliser un format illicite afin d’exécuter du
code.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/libproxy-mauvaise-chaine-de-format-12190