K-Otik Security : EnGarde Secure 'sudo' and 'gnupg' vulnerabilities

EnGarde Secure 'sudo' and 'gnupg' vulnerabilities

Date de Publication: 2003-05-15
Titre: EnGarde Secure 'sudo' and 'gnupg' vulnerabilities
K-Otik ID : 0088
Exploitable à distance : Oui
Exploitable en local : Oui

* Description Technique - Exploit *

EnGarde Secure (Community et Professional) souffrent de deux vulnérabilités. La première faille est de type "heap corruption" et touche 'sudo' et qui permettrait à un attaquant d'exécuter du code arbitraire. Le second problème est lié au récentes failles découvertes dans GNUPGP et donc la validation des utilisateurs (ID).

* Versions Vulnérables *

'Sudo' heap corruption :
EnGarde Secure Community 2 EnGarde Secure Professional v1.2 EnGarde Secure Professional v1.5 GNUPGP key validation bug :

EnGarde Secure Community v1.0.1
EnGarde Secure Community 2
EnGarde Secure Professional v1.1
EnGarde Secure Professional v1.2
EnGarde Secure Professional v1.5

* Solution *

https://www.guardiandigital.com/account/

* Crédits *

Failles découvertes par l'équipe de EnGarde (Mai 2003).