Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Net-Acct : Création Non-Sécurisée de Fichiers Temporaires Vulnérabilité

22/01/2007 01H49
Référence Secunia : SA12476 
Date de publication : 2004-09-07
Dernière mise à jour : 2004-10-06

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Correctif de l'éditeur


Produit :
Net-Acct 0.x

Référence CVE :
CVE-2004-0851


Description :
Stefan Nordhausen a découvert une vulnérabilité dans net-acct, qui pourrait être exploitée par des utilisateurs locaux malveillants pour réaliser certaines actions sur un système vulnérable avec des privilèges plus élevés.

The "write_list()" et "dump_curr_list()" functions créer des fichiers temporaires de manière non-sécurisée. Cela pourrait être exploité via des attaques symlink à sur-écrire ou créer des fichiers arbitraires avec les privilèges d'un utilisateur exécutant net-acct.

La vulnérabilité affecte la version 0.71 et précédente.


Solutions :
L'éditeur a réalisé un correctif:
http://exorsus.net/projects/net-acct/net-acct-notempfiles.patch


Vulnérabilité découverte par :

Stefan Nordhausen
Historique :
2004-10-06: Référence CVE ajoutée.

Référence :
http://exorsus.net/projects/net-acct/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.