SYNTHÈSE DE LA VULNÉRABILITÉ

Lors de l’utilisation des cibles dist et distcheck de GNU
Automake, un attaquant local peut altérer un fichier.

Gravité : 2/4

Conséquences : accès/droits utilisateur, création/modification de
données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 18/12/2009

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme GNU Automake est utilisé pour la compilation de
nombreuses applications.

La cible "dist" génère une distribution source, et la cible
"distcheck" la vérifie. Pour des raisons historiques de
compatibilité avec le programme tar, la distribution est créée
avec le mode 0777. Un attaquant local peut donc modifier un
fichier de la distribution. Par exemple, en modifiant le fichier
"configure", le code de l’attaquant sera exécuté lors de la
préparation à la compilation.

Un attaquant local peut donc modifier un fichier manipulé par GNU
Automake, afin par exemple de faire exécuter du code.

CARACTÉRISTIQUES

Références : BID-37378, CVE-2009-4029, VIGILANCE-VUL-9302

http://vigilance.fr/vulnerabilite/GNU-Automake-modification-de-fichier-via-dist-et-distcheck-9302