Numéro : AL16-015
Date : Le 22 juillet 2016
Objet
La présente alerte vise à attirer l’attention sur l’exploitation active d’une vulnérabilité critique dans le compilateur ASN1C C/C++ d’Objective Systems.
Évaluation
Le CCRIC a été mis au courant d’une vulnérabilité récemment divulguée dans le compilateur ASN1C C/C++. L’exploitation de cette vulnérabilité pourrait potentiellement permettre à un attaquant non authentifié à distance d’exécuter du code arbitraire dans un système infecté.
Référence CVE : CVE-2016-5080
Versions affectées : Compilateur ASN1C C/C++ versions 7.0 et antérieures.
Systèmes touchés : Tous les systèmes contenant des ressources compilées par les versions touchées du compilateur ASN1C C/C++.
ASN1C est un compilateur qui respecte la spécification ASN.1. De multiples protocoles de télécommunication utilisent cette spécification et y font référence, y compris GSM, UMTS, LTE, X.509, SNMP et la téléphonie IP. Par conséquent, plusieurs produits matériels et logiciels tirent profit du compilateur ASN1C.
Mesures Recommandées
En raison des risques potentiels présentés par cette vulnérabilité, le CCRIC recommande aux administrateurs de systèmes de cerner leurs biens touchés et les interdépendances potentielles dans les services critiques de leur organisation. Le processus de gestion des correctifs de l’organisation devra être mis en œuvre à mesure que des mises à jour seront diffusées.
Références :
- CERT/CC Vulnerability Note #790839 - Objective Systems ASN1C generates code that contains a heap overflow vulnerability:
http://www.kb.cert.org/vuls/id/790839 (en anglais) - Avis du chercheur en matière de sécurité :
https://github.com/programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080 (en Anglais)