Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – GNU Parallel : corruption de fichier

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut créer un lien symbolique, afin de modifier le fichier pointé, avec les privilèges de GNU Parallel.

Produits concernés : Fedora.

Gravité : 1/4.

Date création : 25/04/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit GNU Parallel utilise un fichier temporaire.

Cependant, lors de l’ouverture du fichier, le programme ne vérifie pas s’il s’agit d’un lien symbolique existant. Le fichier pointé par le lien est alors ouvert avec les privilèges du programme.

De plus, le nom du fichier est prédictible, et est situé dans un répertoire publiquement modifiable, ce qui permet à l’attaquant de créer le lien symbolique avant qu’il ne soit utilisé.

Un attaquant local peut donc créer un lien symbolique, afin de modifier le fichier pointé, avec les privilèges de GNU Parallel.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/…

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.