Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - cpio : contournement de —no-absolute-filenames

février 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut contourner l’option —no-absolute-filenames de
cpio, afin de créer un fichier hors du répertoire courant.

Produits concernés : Unix (plateforme)

Gravité : 2/4

Date création : 16/01/2015

DESCRIPTION DE LA VULNÉRABILITÉ

La commande cpio crée et extrait des archives.

L’option —no-absolute-filenames indique d’ignorer les fichiers de
l’archive qui permettent de sortir du répertoire courant. Cette
option est donc nécessaire pour traiter les archives de
provenance non sûre.

Cependant, un attaquant peut créer une archive cpio contenant un
lien sur un répertoire absolu, et un fichier dans ce répertoire,
qui lors de l’extraction sera placé dans le répertoire absolu.

Un attaquant peut donc contourner l’option —no-absolute-filenames
de cpio, afin de créer un fichier hors du répertoire courant.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/cpio-contournement-de-no-absolute-filenames-15991


Voir les articles précédents

    

Voir les articles suivants