S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 juillet 2004
N° CERTA-2004-AVI-221
Affaire suivie par: CERT-FR
le 05 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilité de GNATS

Gestion du document

Référence CERTA-2004-AVI-221
Titre Vulnérabilité de GNATS
Date de la première version 05 juillet 2004
Date de la dernière version 05 juillet 2004
Source(s) Bulletin de sécurité INetCop #2003-0x82-018
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

  • GNATS version 3.002 ;
  • GNATS version 3.113 ;
  • GNATS version 3.113.1 ;
  • GNATS version 3.2.

Résumé

Plusieurs vulnérabilités dans GNATS permettent à un utilisateur mal intentionné d'élever ses privilèges.

Description

GNATS est un outil de gestion de rapports de défauts (bug report).
Plusieurs débordements de mémoire dans GNATS permettent à un utilisateur mal intentionné d'élever ses privilèges et d'obtenir ceux du super-utilisateur root.

Contournement provisoire

Enlever le drapeau setuid des binaires GNATS (cela peut entraîner des limitations).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 juillet 2004
    version initiale.