Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - GNU binutils : création ou corruption de fichiers par traversée de répertoire

novembre 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une archive AR, afin de créer ou
modifier des fichiers en dehors du répertoire de l’archive.

 Produits concernés : Unix (plateforme)
 Gravité : 2/4
 Date création : 06/11/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Les outils du paquet GNU binutils servent à manipuler des
fichiers programme et des bibliothèques.

Les archives AR contiennent pour chaque fichier un chemin de
fichier plutôt qu’un nom isolé. Cependant, les chemins peuvent
contenir des séquences comme "/..", ce qui permet lors de
l’extraction avec l’outil ar de créer des fichiers à des
endroits arbitraires sous réserve de deviner le dossier où
l’extraction aura lieu.

D’autres outils du même paquet comme strip et objcopy, qui
traitent traditionnellement un fichier simple peuvent traiter
aussi une archive de ce type, ce qui autorise également la
création de fichiers comme le ferait l’extraction.

Un attaquant peut donc créer une archive AR, afin de créer ou
modifier des fichiers en dehors du répertoire de l’archive.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/GNU-binutils-creation-ou-corruption-de-fichiers-par-traversee-de-repertoire-15604


Voir les articles précédents

    

Voir les articles suivants