S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 novembre 2004
N° CERTA-2004-AVI-364-001
Affaire suivie par: CERT-FR
le 09 novembre 2004

Avis du CERT-FR

Objet: Vulnérabilité de gzip

Gestion du document

Référence CERTA-2004-AVI-364-001
Titre Vulnérabilité de gzip
Date de la première version 09 novembre 2004
Date de la dernière version 10 décembre 2004
Source(s) Bulletin de sécurité Trustix #2004-0050
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

gzip 1.x et versions antérieures.

Résumé

Une vulnérabilité découverte dans gzip permet à un utilisateur local, mal intentionné, de porter atteinte à l'intégrité des données présentes sur le système.

Description

L'application gzip est un outil de compression, présent dans de nombreuses bibliothèques fournies avec des distributions de Linux et Unix. Les scripts gzexe.in, zdiff.in et znew.in présents dans gzip sont vulnérables à une attaque classique d'écrasement de fichiers via le suivi des liens symboliques. A l'aide de liens habilement constitués, un utilisateur mal intentionné, ayant un accès local au système, peut forcer la modification de fichiers avec les droits de la victime.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 novembre 2004
    version initiale.
    le 10 décembre 2004
    ajout du site Internet de gzip et de la référence au bulletin de sécurité Debian.