S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 octobre 2001
N° CERTA-2001-AVI-118-001
Affaire suivie par: CERT-FR
le 19 octobre 2001

Avis du CERT-FR

Objet: Vulnérabilité dans login sous Linux

Gestion du document

Référence CERTA-2001-AVI-118-001
Titre Vulnérabilité dans login sous Linux
Date de la première version 19 octobre 2001
Date de la dernière version 02 novembre 2001
Source(s) Avis de sécurité RedHat RHSA-2001:132-03
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

La commande login est issue du paquetage util-linux livré avec la plupart des distributions Linux.

Les versions util-linux-2.11l et antérieures sont vulnérables.

Résumé

Une vulnérabilité présente dans la commande login peut permettre une élévation de privilèges.

Description

Sous certaines conditions, un utilisateur se connectant sur un système utilisant une version vulnérable de la commande /bin/login peut obtenir une élévation de privilèges (droits de l'administrateur root par exemple).

Cette vulnérabilité n'est exploitable que si l'utilisateur a pu s'authentifier au préalable.

Solution

Le paquetage util-linux est utilisé sur la plupart des distributions Linux. Contactez votre revendeur pour obtenir le correctif.

Pour la distribution RedHat, se référer à l'avis de sécurité RHSA-2001:132-03.

Documentation

Gestion détaillée du document

    le 19 octobre 2001
    version initiale.
    le 02 novembre 2001
    ajout références avis SuSE et Mandrake dans la section Documentation.