SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut lire les données stockées dans le fichier
screen-exchange par Screen.

Gravité : 1/4

Conséquences : lecture de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 01/04/2009

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme Screen permet de scinder une console en plusieurs
parties.

La fonctionnalité screen-exchange sauvegarde un buffer dans le
fichier /tmp/screen-exchange, afin que plusieurs utilisateurs
puissent accéder au buffer.

Ce fichier est lisible par tous les utilisateurs du système.
L’utilisateur ne doit donc pas y stocker des données sensibles.

Cette fonctionnalité est donc potentiellement dangereuse.

CARACTÉRISTIQUES

Références : 25296, CVE-2009-1214, VIGILANCE-VUL-8579

http://vigilance.fr/vulnerabilite/Screen-lecture-d-information-8579