Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Perl, changement de droits via rmtree

juin 2008 par Vigil@nce

Un attaquant local peut employer un lien symbolique afin que la
fonction rmtree de lib/File/Path.pm change les droits d’un fichier.

 Gravité : 1/4
 Conséquences : lecture de données, création/modification de
 données, effacement de données
 Provenance : shell utilisateur
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 25/06/2008
 Référence : VIGILANCE-VUL-7910

PRODUITS CONCERNÉS

Unix - plateforme

DESCRIPTION

Le module lib/File/Path.pm de Perl fournit différentes fonctions
traitant les fichiers, comme rmtree qui efface une arborescence.

Cependant, avant l’effacement d’un lien symbolique, les
permissions du fichier pointé sont changées en 0777 (le fichier
n’est pas effacé s’il n’est pas dans l’arborescence).

Un attaquant peut donc attendre que l’un des programmes de root
utilise cette fonction, afin qu’il puisse accéder au fichier
auquel il n’avait pas accès.

CARACTÉRISTIQUES

 Références : 487319, CVE-2008-2827, VIGILANCE-VUL-7910
 Url : https://vigilance.aql.fr/arbre/1/7910


Voir les articles précédents

    

Voir les articles suivants