Avis du CERT-FR

Objet: Vulnérabilité dans cdrecord

Gestion du document

Référence	CERTA-2003-AVI-089
Titre	Vulnérabilité dans cdrecord
Date de la première version	19 mai 2003
Date de la dernière version	19 mai 2003
Source(s)	-
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

cdrecord version 2.0.

Résumé

Un débordement de tampon dans le logiciel cdrecord permet de réaliser une élévation de privilèges et d'obtenir les droits du super-utilisateur (root).

Description

cdrecord est un logiciel de gravure sous GNU/Linux s'exécutant avec les privilèges de l'administrateur. Un débordement de tampon dans la variable dev permet à un utilisateur mal intentionné de procéder à une élévation de privilèges et d'obtenir les droits du super-utilisateur (root).

Solution

Mettre à jour selon la distribution concernée (cf. section Documentation).

Documentation

Référence CVE CAN-2003-0289 :

https://www.cve.org/CVERecord?id=CAN-2003-0289

Avis de sécurité Mandrake MDKSA-2003:058 :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:068

Gestion détaillée du document

le 19 mai 2003: version initiale.