Vigil@nce - acpid : obtention d’informations
décembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut accéder aux fichiers créés par le démon
acpid, afin d’obtenir des informations.
Gravité : 1/4
Date création : 07/12/2011
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le démon acpid implémente la spécification ACPI (Advanced
Configuration and Power Interface), qui gère l’alimentation.
Lors de son exécution, ce démon crée des fichiers. Cependant, le
masque de création n’est pas restreint à 0077, c’est-à-dire que
les fichiers sont créés avec un mode autorisant tous les
utilisateurs à lire leur contenu.
Un attaquant local peut donc accéder aux fichiers créés par le
démon acpid, afin d’obtenir des informations.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/acpid-obtention-d-informations-11201