Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Website META Language Fichiers Temporaires Insécurisés

08/02/2008 12H22
Référence Secunia : SA28856 
Date de publication : 2008-02-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
Website META Language 2.x

Référence CVE :
CVE-2008-0666


Description :
Deux problèmes de sécurité ont été identifiés dans Website META Language, qui pourraient être exploités par des utilisateurs locaux malveillants pour réaliser certaines actions avec des privilèges plus élevés.

Les failles de sécurité sont causées du fait que le wml_backend/p1_ipp/ipp.src et wml_contrib/wmg.cgi scripts en utilisant des fichiers temporaires d'une manière insécurisée. Cela pourrait être exploité via des attaques symlink à sur-écrire ou supprimer des fichiers arbitraires avec les privilèges de l'utilisateur utilisant le programme.

Les failles de sécurité sont rapportées en version 2.0.11. Les autres versions pourraient également être affectées.


Solutions :
Restreindre l'accès au répertoire temporaire aux utilisateurs fiables seulement.


Vulnérabilité découverte par :

Rapporté via un bogue Debian report.

Référence :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=463907




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.