Vigil@nce : Screen, lecture d’information
avril 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut lire les données stockées dans le fichier
screen-exchange par Screen.
Gravité : 1/4
Conséquences : lecture de données
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 01/04/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Screen permet de scinder une console en plusieurs
parties.
La fonctionnalité screen-exchange sauvegarde un buffer dans le
fichier /tmp/screen-exchange, afin que plusieurs utilisateurs
puissent accéder au buffer.
Ce fichier est lisible par tous les utilisateurs du système.
L’utilisateur ne doit donc pas y stocker des données sensibles.
Cette fonctionnalité est donc potentiellement dangereuse.
CARACTÉRISTIQUES
Références : 25296, CVE-2009-1214, VIGILANCE-VUL-8579
http://vigilance.fr/vulnerabilite/Screen-lecture-d-information-8579