Vigil@nce : GNU Automake, modification de fichier via dist et distcheck
décembre 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Lors de l’utilisation des cibles dist et distcheck de GNU
Automake, un attaquant local peut altérer un fichier.
Gravité : 2/4
Conséquences : accès/droits utilisateur, création/modification de
données
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 18/12/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme GNU Automake est utilisé pour la compilation de
nombreuses applications.
La cible "dist" génère une distribution source, et la cible
"distcheck" la vérifie. Pour des raisons historiques de
compatibilité avec le programme tar, la distribution est créée
avec le mode 0777. Un attaquant local peut donc modifier un
fichier de la distribution. Par exemple, en modifiant le fichier
"configure", le code de l’attaquant sera exécuté lors de la
préparation à la compilation.
Un attaquant local peut donc modifier un fichier manipulé par GNU
Automake, afin par exemple de faire exécuter du code.
CARACTÉRISTIQUES
Références : BID-37378, CVE-2009-4029, VIGILANCE-VUL-9302
http://vigilance.fr/vulnerabilite/GNU-Automake-modification-de-fichier-via-dist-et-distcheck-9302