Avis du CERT-FR

Objet: Vulnérabilité dans Shorewall

Gestion du document

Référence	CERTA-2004-AVI-233
Titre	Vulnérabilité dans Shorewall
Date de la première version	09 juillet 2004
Date de la dernière version	09 juillet 2004
Source(s)	Bulletin de sécurité Gentoo GLSA 200407-07
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

Shorewall version 1.4.10c et versions antérieures.

Description

Shorewall est une interface qui permet la configuration du firewall netfilter.

Une vulnérabilité dans le code chargé de la création des fichiers et des répertoires temporaires permet à un utilisateur mal intentionné, via des liens symboliques habilement construits, d'écraser des fichiers arbitraires avec les privilèges du processus Shorewall.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La version 1.4.10f corrige cette vulnérabilité.

Documentation

Annonce sur la liste de diffusion Shorewall du 28 juin 2004 :

http://lists.shorewall.net/pipermail/shorewall-announce/2004-June/000385.html

Bulletin de sécurité Gentoo GLSA 200407-07 du 08 juillet 2004 :
```
http://security.gentoo.org/glsa/glsa-200407-07.xml
```

Gestion détaillée du document

le 09 juillet 2004: version initiale.