Vigil@nce : GNOME Evolution, lecture d’informations
mai 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Les droits d’accès au répertoire /.evolution permettent à tous
les utilisateurs de lire son contenu.
Gravité : 1/4
Conséquences : lecture de données
Provenance : shell utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 22/05/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le client de messagerie GNOME Evolution stocke les préférences et
les emails de chaque utilisateur dans son home directory, sous le
répertoire /.evolution.
Cependant, ce répertoire est créé par défaut avec le mode 0755,
c’est-à-dire qu’il est lisible par tous les utilisateurs du
système.
Si la victime n’a pas restreint l’accès à son home directory (0700
par exemple), un attaquant local peut donc lire ses emails.
CARACTÉRISTIQUES
Références : 498648, 526409, 581604, CVE-2009-1631,
VIGILANCE-VUL-8729
http://vigilance.fr/vulnerabilite/GNOME-Evolution-lecture-d-informations-8729