Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - GNU binutils : création ou corruption de fichiers par traversée de répertoire

novembre 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une archive AR, afin de créer ou modifier des fichiers en dehors du répertoire de l’archive.

- Produits concernés : Unix (plateforme)
- Gravité : 2/4
- Date création : 06/11/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Les outils du paquet GNU binutils servent à manipuler des fichiers programme et des bibliothèques.

Les archives AR contiennent pour chaque fichier un chemin de fichier plutôt qu’un nom isolé. Cependant, les chemins peuvent contenir des séquences comme "/..", ce qui permet lors de l’extraction avec l’outil ar de créer des fichiers à des endroits arbitraires sous réserve de deviner le dossier où l’extraction aura lieu.

D’autres outils du même paquet comme strip et objcopy, qui traitent traditionnellement un fichier simple peuvent traiter aussi une archive de ce type, ce qui autorise également la création de fichiers comme le ferait l’extraction.

Un attaquant peut donc créer une archive AR, afin de créer ou modifier des fichiers en dehors du répertoire de l’archive.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/G...




Voir les articles précédents

    

Voir les articles suivants