Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2002-AVI-243

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 4 novembre 2002
No CERTA-2002-AVI-243

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : uudecode ne vérifie pas les liens symboliques


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-243

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2002-AVI-243
Titre uudecode ne vérifie pas les liens symboliques
Date de la première version 4 novembre 2002
Date de la dernière version -
Source(s) CERT CC : Vulnerability Note Vu#336083
  CVE : CAN-2002-0178
  RedHat : RHSA-2002:065
  Avis OpenLinux : CSSA-2002-040.0
  Mandrake : MDKSA-2002:052
Pièce(s) jointe(s) Aucune
   

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Un utilisateur local peut occasionner des :

  • pertes de données ;
  • dénis de service ;
  • élévations de privilèges.

2 Systèmes affectés

  • Mandrake ;
  • RedHat ;
  • OpenLinux.

3 Résumé

Une vulnérabilité du logiciel uudecode permet d'écraser des fichiers, conduisant dans certains cas à une élévation de privilèges.

4 Description

Le mél (SMTP) et les forums de discussion sur Internet (NNTP) ont été conçus pour échanger des messages textuels en anglais. De nombreux systèmes ont donc été conçus pour échanger des messages ne contenant que des caractères imprimables du jeux ASCII. En pratique 7 bits suffisent pour représenter chaque caractère (le bit de poids fort de chaque octet est nul).

Lorsqu'il faut échanger des textes avec des caractères accentués ou bien des pièces jointes (images, sons, ...) ces systèmes ne fonctionnent plus, car ils sont confrontés à des octets dont le bit de poids fort vaut 1.

Un contournement de cette limitation est d'encoder les données binaires en un ensemble de caractères ASCII avant de les émettre. Une des normes pour réaliser ce type d'encodage est uuencode (Unix to Unix encode).

Par exemple, l'encodage d'une image :

begin 644 toto.gif
M1TE&.#EA=P!/`/<``.(M,>,N,.,N,M\N,N$O,>(Q-.(Q,N,R,^(I+MPH+N(J
[...]
ME!`;%1([L4U1L1:;%!B;L46QL1P;%![[L4;A3"*+%2%;LCMQLBA[$RJ[LDI!
8LBY[L3`;LQK[$#8*>[,XF[,ZZQ`!`0`[
`
end
toto.gif désigne le nom du fichier à créer lorsque la pièce jointe sera décodée par le logiciel uudecode.

Le paquetage GNU Sharutils est un ensemble de logiciels destinés à faire des archives shell pour la transmission de données par le mél. Parmis les logiciels de ce paquetage, on trouve une implémentation du logiciel uudecode.

Cette implémentation d'uudecode ne vérifie pas, avant d'écrire le fichier décodé sur le disque, si le fichier existe déjà et notamment s'il n'est pas un lien ou un tube nommé.

Ceci permet une attaque classique d'écrasement de fichiers en suivant les liens symboliques. Cette technique peut permettre dans certains cas une élévation de privilèges d'un utilisateur local.

D'autres implémentations de uudecode peuvent être touchées par cette vulnérabilité. La page du CERT Coordination Center précise quelles sont les implémentations vulnérables connues.

5 Solution

Appliquer le correctif proposé pour les implémentations vulnérables. Les avis de sécurité suivants précisent des implémentations à corriger :

RedHat
avis RHSA-2002:065
OpenLinux
avis CSSA-2002-040.0
Mandrake
avis MDKSA-2002:052

6 Documentation

Gestion détaillée du document

4 novembre 2002
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-20