Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

GNU Emacs vcdiff Fichiers Temporaires Insécurisés

21/04/2008 10H46
Référence Secunia : SA29905 
Date de publication : 2008-04-21

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Solution de l'éditeur


Produit :
GNU Emacs 21.x
GNU Emacs 22.x

Référence CVE :
CVE-2008-1694



Description :
Quelques problèmes de sécurité ont été identifiés dans GNU Emacs, qui pourraient être exploités par des utilisateurs locaux malveillants pour réaliser certaines actions avec des privilèges plus élevés.

Les failles de sécurité sont causées du fait que le vcdiff utility (lib-src/vcdiff) en utilisant des fichiers temporaires d'une manière insécurisée. Cela pourrait être exploité via des attaques symlink pour par ex. sur-écrire des fichiers arbitraires avec les privilèges de l'utilisateur utilisant the vcdiff utility.

Les failles de sécurité sont rapportées en versions 21.4a et 22.2. Les autres versions pourraient également être affectées.


Solutions :
Corrigé dans le CVS.


Vulnérabilité découverte par :

Steve Grubb, Red Hat

Référence :
Red Hat Bugzilla:
https://bugzilla.redhat.com/show_bug.cgi?id=208483




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.