Vigil@nce : vixie-cron, modification de timestamp
février 2010 par Vigil@nce
Un attaquant local peut employer vixie-cron pour mettre à zéro
l’heure de modification d’un fichier.
– Gravité : 1/4
– Conséquences : création/modification de données
– Provenance : shell utilisateur
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 24/02/2010
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La fonction utime() modifie l’heure d’un fichier :
– actime : heure de dernier accès
– modtime : heure de dernière modification
Lorsqu’un utilisateur édite sa crontab via "crontab -e",
vixie-cron crée un fichier temporaire sous /tmp, et emploie
utime() pour remettre à zéro ses heures d’accès et de modification
(afin de facilement détecter que le fichier a été édité).
Cependant, ces modifications sont effectuées avec les privilèges
root.
Un attaquant local peut donc éditer sa crontab, et créer un lien
symbolique, afin de forcer vixie-cron à modifier les heures d’un
fichier.
CARACTÉRISTIQUES
– Références : CVE-2010-0424, FEDORA-2010-2751, VIGILANCE-VUL-9473
– Url : http://vigilance.fr/vulnerabilite/vixie-cron-modification-de-timestamp-9473