Mise à jour de la Freebox Revolution, et la sécurité ?

août 23rd, 2011 | Posted by Cervoise in Français

Ma Freebox Server vient de se mettre à jour en version 1.1.0. Cette mise à jour apporte son lot de nouveautés.

Cependant qu’en est-il des correctifs de sécurité au sein de cette mise à jour ?

La Freebox v6 embarque de nombreux logiciels libres, la liste est consultable en local ici : http://ip_de_votre_box/settings.php?page=misc_legal

Pour ceux qui n’aurait pas de Freebox v6, voici la liste des logiciels dans la version 1.1.0 du server et  1.0.4.2 du player :

Nom Version License
alsautils 1.0.24.2  GPLv2
avahi 0.6.30  LGPL
bridgeutils 1.0.6  GPLv2
busybox 1.16.0  GPLv2
cracklib 2.8.18  LGPL
devicemapper 1.02.22  GPLv2
dnsmasq 2.55  GPLv2
dosfstools 3.0.9  GPLv2
dropbear 0.52  MIT
e2fsprogs 1.41.11  GPLv2
ethtool 6git  GPLv2
expat 2.0.1  BSD
faad2 2.7  GPLv2
ffmpeg 07/06/2010  LGPL
freetype 2.4.2  BSD
fuppes 0.660  GPLv2
hfsprogs 332.25  BSD
hostapd 0.7.3  GPLv2
iproute2 2.6.24-rc7  GPLv2
ipsectools 0.6.5  BSD
iptables 1.4.3  GPLv2
iw 0.9.20  BSD
libalsa 1.0.24.1  LGPL
libart 2.3.20  GPLv2
libatomicops 1.2  BSD
libcurl 7.19.6  MIT
libdb 4.6  BSD
libeventreal 1.4.13-stable  BSD
libgcrypt 1.4.6  LGPL
libgd2 2.0.36RC1  BSD
libgpgerror 1.10  LGPL
libiconv 1.11  LGPL
libncurses 5.7  MIT
libnfsidmap 0.23  BSD
libnl 1.1  LGPL
libpcap 0.9.4  BSD
libpng 1.2.44  BSD
libwrap 7.6  BSD
libxml 2.7.7  BSD
lrzsz 0.12.20  GPLv2
lzo 2.03  GPLv2
minicom 2.4  GPLv2
mtd 1.3.1  GPLv2
netatalk 2.2  GPLv2
nfsutils 1.2.3  GPLv2
nginx 0.8.55  BSD
ntfs3g 2011.4.12  GPLv2
openssl 1.0.0d  BSD
pciutils 3.1.5  GPLv2
pcre 7.9  BSD
portmap 6.0  BSD
ppp 2.4.5  GPLv2
procps 3.2.8  GPLv2
radvd 1.5  BSD
readline 5.2  GPLv2
rrdtool 1.2.30  GPLv2
rsync 2.6.9  GPLv2
samba 3.0.37  GPLv2
smartmontools 5.41  GPLv2
strace 4.6  BSD
tcpdump 3.9.4  BSD
transmission 2.12  GPLv2
wirelesstools 29  GPLv2
xfsprogs 3.1.1  GPLv2
zlib 1.2.5  BSD

Parmi cette liste, plusieurs logiciels ou librairies sont vulnérables :

Nom Version
dropbear 0.52
ffmpeg 07/06/2010
freetype 2.4.2
ipsectools 0.6.5
libcurl 7.19.6
libpng 1.2.44
libxml 2.7.7
tcpdump 3.9.4

En regardant dans le détail ces vulnérabilités, on constate que certaines permettent l’exécution de code arbitraire à distance.

Ces applications sont vulnérables (certaines depuis plusieurs années) cependant, la Freebox n’est pas nécessairement impactée par ces vulnérabilités (par exemple si les fonctions vulnérables ne sont pas utilisées). On est quand même en droit d’espérer une mise à jour de sécurité de la Freebox v6 …

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.