S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 octobre 2008
N° CERTA-2008-AVI-513
Affaire suivie par: CERT-FR
le 21 octobre 2008

Avis du CERT-FR

Objet: Vulnérabilités dans Veritas File System

Gestion du document

Référence CERTA-2008-AVI-513
Titre Vulnérabilités dans Veritas File System
Date de la première version 21 octobre 2008
Date de la dernière version 21 octobre 2008
Source(s) Bulletin de sécurité Symantec SYM08-018 du 20 octobre 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données ;
  • contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

Toutes les versions de Veritas File System.

Résumé

Deux vulnérabilités dans Veritas File System permettent d'élever les privilèges ou d'accéder arbitrairement en lecture à des données.

Description

Deux vulnérabilités ont été découvertes dans la fonctionnalité Quick I/O for Database du produit Veritas File System (VxFS) :

  • la commande qiomkfile attribue des blocs du système de fichiers sans les initialiser. Cette technique est utilisée pour optimiser les performances de la base de données mais elle permet la lecture de l'ancien contenu des blocs ;
  • la commande qioadmin peut être utilisée avec n'importe quel fichier du système, ce qui permet dans certains cas de réaliser une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 octobre 2008
    version initiale.