SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut modifier la variable d’environnement
LOCALEDIR, afin de provoquer une attaque par format dans lppasswd,
conduisant à l’exécution de code privilégié.

Gravité : 2/4

Conséquences : accès/droits administrateur

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 04/03/2010

PRODUITS CONCERNÉS

– Debian Linux

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

La commande lppasswd définit le mot de passe des utilisateurs
accédant au gestionnaire d’impression CUPS. Ce programme est
installé suid root.

La variable d’environnement LOCALEDIR définit le répertoire où se
trouvent les traductions des messages. La fonction
_cupsLangprintf() utilise notamment ces messages traduits.

Un attaquant local peut changer LOCALEDIR, afin de forcer lppasswd
à afficher les messages de son choix avec _cupsLangprintf(). Comme
certains messages contiennent des caractères de formatage, un
attaquant peut ainsi directement provoquer une attaque par format,
avec lppasswd qui s’exécute avec les droits root.

Un attaquant local peut donc modifier la variable d’environnement
LOCALEDIR, afin de provoquer une attaque par format dans lppasswd,
conduisant à l’exécution de code privilégié.

CARACTÉRISTIQUES

Références : BID-38524, CVE-2010-0393, DSA 2007-1,
VIGILANCE-VUL-9494

http://vigilance.fr/vulnerabilite/CUPS-elevation-de-privileges-via-lppasswd-9494