Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

GNU a2ps Two Scripts : Création Non-Sécurisée de Fichiers Temporaires

22/01/2007 08H21
Référence Secunia : SA13641 
Date de publication : 2004-12-27
Dernière mise à jour : 2005-01-19

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
GNU a2ps 4.x

Référence CVE :
CVE-2004-1377


Description :
Javier Fernández-Sanguino Peña a rapporté deux vulnérabilités dans GNU a2ps, qui pourraient être exploitées par des utilisateurs locaux malveillants pour réaliser certaines actions sur un système vulnérable avec des privilèges plus élevés.

Les vulnérabilités sont causées du fait que le fixps.in et psmandup.in scripts créé des fichiers temporaires de manière non-sécurisée. Cela pourrait être exploité via des attaques symlink pour sur-écrire des fichiers arbitraires avec les privilèges de l'utilisateur utilisant a vulnérable script.

Les vulnérabilités ont été identifiées dans la version 4.13b. Les autres versions pourraient également être affectées.


Solutions :
Ne pas utiliser the deux vulnérable scripts.

N'authorisez que des utilisateurs de confiance à accéder aux systèmes affectés.


Vulnérabilité découverte par :

Javier Fernández-Sanguino Peña
Historique :
2005-01-19: Référence CVE ajoutée.






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.