{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>IRIX 5.3 et 6.1 \u00e0 6.5 munis des outils \u00ab Workshop Debugger and  Performance \u00bb versions 2.6 et inf\u00e9rieures.</P>","content":"## Description\n\nDans son utilisation normale, \u00ab cvconnect \u00bb n'est pas utilis\u00e9\nmanuellement par l'utilisateur, mais appel\u00e9 par le fonctionnement de la\nsuite logicielle \u00ab WorkShop \u00bb .\n\nOr, il a \u00e9t\u00e9 d\u00e9couvert qu'il est possible \u00e0 n'importe quel utilisateur\nposs\u00e9dant un compte local d'ex\u00e9cuter la commande manuellement, en local\nou \u00e0 distance. Cette commande permet \u00e0 un utilisateur mal intentionn\u00e9\nd'\u00e9craser n'importe quel fichier du syst\u00e8me.\n\n## Contournement provisoire\n\nApr\u00e8s avoir v\u00e9rifi\u00e9 la version de \u00ab WorkShop \u00bb, il faut, en ayant acc\u00e8s\nen root \u00e0 la machine, supprimer les permissions nuisibles \u00e0 \u00ab cvconnect\n\u00bb .\n\nPour v\u00e9rifier la version, utiliser la commande 'version' :\n\n\\# version -b WorkShop\n\nPour changer les permissions de \u00ab cvconnect \u00bb, utiliser la commande\n'chmod' :\n\n\\# /bin/chmod 500 /usr/lib/WorkShop/cvconnect\n\nV\u00e9rifier les nouvelles permissions :\n\n\\# ls -l /usr/lib/WorkShop/cvconnect\n\n-r-x--- 1 root sys 428664 Sep 11 1997 cvconnect\n\n## Solution\n\nIl existe une version 2.7 de \u00ab WorkShop \u00bb qui corrige le probl\u00e8me. Il\nfaut donc mettre \u00e0 jour la version de \u00ab WorkShop \u00bb.\n\nNota : Cette mise \u00e0 jour n'est possible que sur les versions 6.2 \u00e0 6.5\nd'IRIX. Pour les versions 5.3 et 6.1, il faut : soit mettre \u00e0 jour le\nsyst\u00e8me, soit faire la manipulation d\u00e9crite dans le\nparagraphe\u00a0[5](#sec:provisoire).\n","cves":[],"links":[{"title":"Avis du CIAC :","url":"http://www.ciac.org/ciac.bulletins/k-056.shtml"}],"reference":"CERTA-2000-AVI-012","revisions":[{"description":"version initiale.","revision_date":"2000-06-29T00:00:00.000000"}],"risks":[{"description":"Ecrasements de fichiers. de fa\u00e7on g\u00e9n\u00e9rale, un \u00e9crasement de fichier peut avoir pour cons\u00e9quences : une destruction de la configuration de la machine, un acc\u00e8s root \u00e0 la machine, etc"}],"summary":"Workshop est une suite logicielle d'outils aidant les d\u00e9veloppeurs \u00e0\nmettre au point les programmes. Le programme \u00ab cvconnect \u00bb est appel\u00e9\npar ce logiciel.\n\nUne vuln\u00e9rabilit\u00e9 dans \u00ab cvconnect \u00bb a \u00e9t\u00e9 d\u00e9couverte, autorisant\nn'importe quel utilisateur \u00e0 l'ex\u00e9cuter.\n","title":"Vuln\u00e9rabilit\u00e9 dans \u00ab Workshop \u00bb cvconnect sous IRIX","vendor_advisories":[{"published_at":null,"title":"Avis K-056 du CIAC","url":null}]}