Vigil@nce : GNU patch, création de fichier
janvier 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à utiliser un fichier de
patch illicite, afin de créer un fichier hors du répertoire
courant.
– Gravité : 1/4
– Date création : 06/01/2011
PRODUITS CONCERNÉS
– Debian Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La commande GNU patch utilise un fichier décrivant des
modifications à apporter sur une arborescence. Chaque fichier à
modifier est indiqué grâce à la syntaxe :
"--- chemin/nom_fichier.origine"
"+++ chemin/nom_fichier"
Cependant, si le chemin contient "../", le fichier nommé est créé
hors du répertoire courant. En effet, GNU patch ne vérifie pas si
les fichiers à modifier sont situés dans l’arborescence.
Un attaquant peut donc inviter la victime à utiliser un fichier de
patch illicite, afin de créer un fichier hors du répertoire
courant.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GNU-patch-creation-de-fichier-10251