Avis du CERT-FR

Objet: Faille dans le gestionnaire de volumes Linux LVM

Gestion du document

Référence	CERTA-2004-AVI-363
Titre	Faille dans le gestionnaire de volumes Linux LVM
Date de la première version	08 novembre 2004
Date de la dernière version	08 novembre 2004
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Corruption de fichiers ;
déni de service.

Systèmes affectés

Tout système Linux utilisant le gestionnaire de volumes logiques LVM («Logical Volume Manager»).

Résumé

Une vulnérabilité dans un script du paquetage LVM permet à un utilisateur local mal intentionné d'écraser des fichiers arbitraires.

Description

Un script additionnel est disponible dans LVM pour créer un disque virtuel d'amorce («initrd») intégrant les fonctions LVM pour le noyau. Ce script ne vérifie pas correctement certains fichiers temporaires, ce qui peut être utilisé pour écraser des fichiers systèmes légitimes.

Solution

Se référer aux bulletins de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation

Bulletin de sécurité Debian DSA-583-1 du 03 novembre 2004 :
```
http://www.debian.org/security/2004/dsa-583
```

Référence CVE CAN-2004-0972 :

https://www.cve.org/CVERecord?id=CAN-2004-972

Gestion détaillée du document

le 08 novembre 2004: version initiale.