Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’un utilisateur exécute la commande "make distcheck", un
répertoire est publiquement inscriptible, ce qui permet à un
attaquant local d’y placer un programme illicite, qui sera exécuté
avec les privilèges de l’utilisateur.

– Gravité : 2/4
– Date création : 12/07/2012

PRODUITS CONCERNÉS

– Mandriva Enterprise Server
– Mandriva Linux
– Slackware Linux
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La suite GNU Automake fournit des outils pour générer des
Makefiles, qui sont utilisés lors de la compilation d’un programme.

La commande "make distcheck" génère l’archive
"package-version.tar.gz", et vérifie si cette archive peut être
compilée.

Cependant, durant cette opération, un répertoire temporaire est
créé avec des permissions autorisant tous les utilisateurs locaux
à le modifier.

Lorsqu’un utilisateur exécute la commande "make distcheck", un
répertoire est donc publiquement inscriptible, ce qui permet à un
attaquant local d’y placer un programme illicite, qui sera exécuté
avec les privilèges de l’utilisateur.

Cette vulnérabilité impacte Automake, ainsi que tous les
programmes fournis sous la forme d’une archive source utilisant
Automake. On peut noter que les utilisateurs finaux emploient
rarement "make distcheck".

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/GNU-Automake-execution-de-code-via-distcheck-11768