Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : nano, modification de fichier

mars 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut employer un lien symbolique, afin de
modifier un fichier lorsqu’un utilisateur édite un fichier avec
nano.

 Gravité : 1/4
 Date création : 29/03/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme nano est un éditeur simple proposant des
fonctionnalités élémentaires.

Cependant, cet éditeur ne vérifie pas la présence de liens
symboliques. Un attaquant peut donc :
 soit remplacer le fichier en cours d’édition par un lien,
 soit, si l’option "set backup" est active, remplacer un fichier
de backup par un lien.
Le fichier pointé par le lien est alors écrasé par nano, avec les
droits de l’utilisateur de nano.

Un attaquant local peut donc employer un lien symbolique, afin de
modifier un fichier lorsqu’un utilisateur édite un fichier avec
nano.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/nano-modification-de-fichier-9539


Voir les articles précédents

    

Voir les articles suivants