Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Apache mod_dosevasive : Création Non-Sécurisée de Fichiers Temporaires

22/01/2007 08H36
Référence Secunia : SA13725 
Date de publication : 2005-01-06
Dernière mise à jour : 2005-02-07

Risque : Non Critique. Niveau 1 sur 5.
Impact : Manipulation de données, Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
mod_dosevasive 1.x (module pour Apache)

Référence CVE :
CVE-2005-0182


Description :
LSS Security Team a rapporté une faiblesse dans mod_dosevasive pour Apache, qui pourrait être exploitée par des utilisateurs locaux malveillants pour réaliser certaines actions sur un système vulnérable avec des privilèges plus élevés.

Les fichiers temporaires sont créés de manière non sécurisée et pourrait être exploitée via des attaques symlink pour créer des fichiers arbitraires contenant action trace log information sur le système.

Combined avec a minor race condition, cela pourrait être exploité pour sur-écrire existing files.

La vulnérabilité a été rapportée en versions 1.9 et précédente.


Solutions :
N'authorisez que des utilisateurs de confiance à accéder à un système vulnérable.


Vulnérabilité découverte par :

LSS Security Team
Historique :
2005-02-07: Référence CVE ajoutée.

Référence :
http://security.lss.hr/en/index.php?page=details&ID=LSS-2005-01-01




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.