Vigil@nce - Node.js cli : corruption de fichiers via des fichiers temporaires prédictibles
août 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer des via liens à la place des fichiers
temporaires de Node.js cli, afin de corrompre des fichiers
modifiables par Node.js.
Produits concernés : Node.js Modules non exhaustif.
Gravité : 2/4.
Date création : 16/06/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module cli peut être installé sur Node.js.
Il utilise des fichiers temporaires au nom prédictible dans un
emplacement accessible en écriture à tout le monde ("/tmp"). Un
attaquant peut donc créer des liens symboliques ayant les noms
prédits afin de corrompre les fichiers pointés avec les
privilèges du processus Node.js.
Un attaquant peut donc créer des via liens à la place des
fichiers temporaires de Node.js cli, afin de corrompre des
fichiers modifiables par Node.js.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET