Vulnérabilité dans Gnu GCC

Gestion du document

Référence	CERTA-2006-AVI-300-001
Titre	Vulnérabilité dans Gnu GCC
Date de la première version	19 juillet 2006
Date de la dernière version	11 septembre 2006
Source(s)	Rapport d'erreur #28359 du projet gcc du 17 juillet 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

Gnu GCC versions 3.x ;
Gnu GCC versions 4.x.

Résumé

Une vulnérabilité dans Gnu GCC permet à un utilisateur mal intentionné de porter atteinte à l'intégrité des données du système.

Description

Gnu GCC est un compilateur libre pour différents langages comme C ou C++ mais aussi Java. Une erreur est présente dans un composant de Gnu GCC nommé fastjar mettant en œuvre la gestion des fichiers archive de type JAR (Java Archive). Cette vulnérabilité permet à un utilisateur mal intentionné d'écraser des fichiers du système par ceux présents dans l'archive par une technique de type « traversée de repertoire » au moyen d'un fichier JAR construit de façon particulière.

Solution

Appliquer le correctif approprié :

http://gcc.gnu.org/bugzilla/attachment.cgi?id=11904&action=view

Documentation

Site de Gnu GCC :
```
http://gcc.gnu.org
```
Rapport d'erreur #28359 du projet gcc du 17 juillet 2006 :
```
http://gcc.gnu.org/bugzilla/show_bug.cgi?id=28359
```
Bulletin de sécurité Debian DSA-1170 du 06 septembre 2006 :
```
http://www.debian.org/security/2006/dsa-1170
```

Référence CVE CVE-2006-3619 :

https://www.cve.org/CVERecord?id=CVE-2006-3619

Gestion détaillée du document

le 19 juillet 2006: version initiale.

le 11 septembre 2006: ajout de la référence au bulletin de sécurité Debian.

Avis du CERT-FR

Objet: Vulnérabilité dans Gnu GCC