Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : R, corruption de fichier via javareconf

septembre 2008 par Vigil@nce

SYNTHÈSE

Un attaquant local peut attendre qu’une victime emploie javareconf
afin d’altérer des fichiers avec ses privilèges.

Gravité : 1/4

Conséquences : création/modification de données

Provenance : shell utilisateur

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 17/09/2008

Référence : VIGILANCE-VUL-8113

PRODUITS CONCERNÉS

 Mandriva Linux [versions confidentielles]
 Unix - plateforme

DESCRIPTION

L’environnement R fournit des outils de calcul statistique.

Le script shell javareconf adapte la configuration pour Java. Pour
cela, il crée un fichier /tmp/A.java contenant du code Java :
echo "public class A " > /tmp/A.java

Cependant, si un lien symbolique porte le nom A.java, il est
suivi, et son contenu est écrasé par le code Java.

Un attaquant local peut ainsi forcer la corruption d’un fichier
lorsque la victime emploie javareconf.

CARACTÉRISTIQUES

Références : 496363, CVE-2008-3931, MDVSA-2008:198,
VIGILANCE-VUL-8113

https://vigilance.aql.fr/arbre/1/8113


Voir les articles précédents

    

Voir les articles suivants