Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Vim configure.in Fichiers Temporaires Insécurisés

18/07/2008 12H05
Référence Secunia : SA31159 
Date de publication : 2008-07-18

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
Vim 6.x
Vim 7.x


Description :
Une faille de sécurité a été rapportée dans Vim, qui pourrait être exploitée par des utilisateurs locaux malveillants pour obtenir des privilèges plus élevés.

Le problème de sécurité est causé du fait que le fichiersrc/configure.in traitement des fichiers temporaires d'une manière insécurisée. Cela pourrait être exploité pour sur-écrire des fichiers arbitraires ou à tourner du code arbitraire avec les privilèges de l'utilisateur configurant Vim via symlink et race condition attaques.

L'exploitation de ce problème est possible seulement si Vim est configuré avec le "--enable-pythoninterp" option.

Le problème de sécurité est rapporté en versions 5.0 à 7.1. Les autres versions pourraient également être affectées.


Solutions :
Restrict local accéder à des utilisateurs de confiance seulement.


Vulnérabilité découverte par :

Jan Minar

Référence :
http://seclists.org/fulldisclosure/2008/Jul/0312.html




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.