Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

gzip Various Scripts : Création Non-Sécurisée de Fichiers Temporaires

22/01/2007 03H43
Référence Secunia : SA13131 
Date de publication : 2004-11-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
gzip 1.x

Référence CVE :
CVE-2004-0970


Description :
Quelques vulnérabilités ont été identifiées dans gzip, qui pourraient être exploitées par des utilisateurs locaux malveillants pour réaliser certaines actions sur un système vulnérable avec des privilèges plus élevés.

Les vulnérabilités sont causées du fait que les scripts "gzexe.in", "zdiff.in", et "znew.in" créent des fichiers temporaires de manière non-sécurisée. Cela pourrait être exploité via des attaques symlink pour créer ou sur-écrire des fichiers arbitraires sur le système avec les privilèges de l'utilisateur exécutant un script vulnérable.

Les vulnérabilités ont été identifiées dans les versions 1.2.4 et 1.3.2. Les autres versions pourraient également être affectées.


Solutions :
N'authorisez que des utilisateurs de confiance à accéder aux systèmes affectés.


Vulnérabilité découverte par :

D'abord rapportée dans un bulletin Trustix.

Référence :
http://www.trustix.org/errata/2004/0050/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.