Vigil@nce - GNU Parallel : corruption de fichier
mai 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut créer un lien symbolique, afin de
modifier le fichier pointé, avec les privilèges de GNU Parallel.
Produits concernés : Fedora.
Gravité : 1/4.
Date création : 25/04/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit GNU Parallel utilise un fichier temporaire.
Cependant, lors de l’ouverture du fichier, le programme ne
vérifie pas s’il s’agit d’un lien symbolique existant. Le fichier
pointé par le lien est alors ouvert avec les privilèges du
programme.
De plus, le nom du fichier est prédictible, et est situé dans un
répertoire publiquement modifiable, ce qui permet à l’attaquant
de créer le lien symbolique avant qu’il ne soit utilisé.
Un attaquant local peut donc créer un lien symbolique, afin de
modifier le fichier pointé, avec les privilèges de GNU Parallel.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/GNU-Parallel-corruption-de-fichier-19452