– Gravité : 2/4
– Conséquences : création/modification de données, effacement de
données
– Provenance : shell utilisateur
– Moyen d’attaque : 2 attaques
– Compétence de l’attaquant : débutant (1/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 2
– Date création : 03/12/2008

PRODUITS CONCERNÉS

– Debian Linux
– Unix - plateforme

DESCRIPTION

Le langage Perl peut être étendu à l’aide de modules additionnels.
La fonction rmtree() du module File::Path efface les répertoires
de manière récursive. Elle comporte deux vulnérabilités.

Durant l’effacement, un attaquant local peut créer un lien
symbolique dans l’arborescence partant d’un fichier suid effacé,
afin de forcer un autre fichier à devenir suid. [grav:2/4 ; 286905,
CVE-2008-5302]

Durant l’effacement, un attaquant local peut créer un lien
symbolique dans l’arborescence afin de forcer l’effacement d’un
fichier hors de l’arborescence. [grav:2/4 ; 286922, CVE-2008-5303]

CARACTÉRISTIQUES

– Références : 233695, 286905, 286922, CVE-2008-5302, CVE-2008-5303,
DSA-1678-1, VIGILANCE-VUL-8281
– Url : http://vigilance.fr/vulnerabilite/8281