{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Linux Debian 2.2","product":{"name":"N/A","vendor":{"name":"Debian","scada":false}}},{"description":"Linux Mandrake 7.1, 7.2, 8.0, Corporate Server 1.0.1","product":{"name":"N/A","vendor":{"name":"Debian","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nCron est un outil permettant \u00e0 un utilisateur de planifier l'ex\u00e9cution\nde t\u00e2ches p\u00e9riodiquement ou \u00e0 des heures pr\u00e9cises.\n\nLa version de cron publi\u00e9e pour apporter une correction \u00e0 une pr\u00e9c\u00e9dente\nvuln\u00e9rabilit\u00e9 d\u00e9crite dans l'avis CERTA-2000-AVI-076 paru en novembre\n2000, introduit une nouvelle vuln\u00e9rabilit\u00e9.\n\nSi une erreur est rencontr\u00e9 dans l'analyse du fichier crontab apr\u00e8s sa\nmodification, crontab ne r\u00e9duit pas imm\u00e9diatement ses privil\u00e8ges\nd'ex\u00e9cution (crontab est install\u00e9 avec le bit setuid root). Ainsi, il\nest possible pour un utilisateur mal intentionn\u00e9 de lancer l'\u00e9dition\nsous crontab (crontab -e) avec un \u00e9diteur qui va g\u00e9n\u00e9rer une erreur\nd'analyse puis ex\u00e9cuter des commandes arbitraires avec les privil\u00e8ges de\nroot.\n\n## Contournement provisoire\n\nRestreindre l'acc\u00e8s \u00e0 l'utilitaire cron aux utilisateurs de confiance\nvia les fichiers /etc/cron.allow et /etc/cron.deny (se r\u00e9f\u00e9rer \u00e0 l'aide\nen ligne: man crontab).\n\n## Solution\n\nDes correctifs sont disponibles sur les sites des diff\u00e9rents \u00e9diteurs:\n\n-   http://www.debian.org/security/2001/dsa-054\n\n-   http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-050\n","cves":[],"links":[{"title":"Avis de S\u00e9curit\u00e9 Debian:","url":"http://www.debian.org/security/2001/dsa-054"}],"reference":"CERTA-2001-AVI-051","revisions":[{"description":"version initiale.","revision_date":"2001-05-14T00:00:00.000000"}],"risks":[{"description":"Obtention du privil\u00e8ges root en local. des programmes exploitant cette vuln\u00e9rabilit\u00e9 ont \u00e9t\u00e9 publi\u00e9s"}],"summary":"Une correction apport\u00e9e \u00e0 une pr\u00e9c\u00e9dente vuln\u00e9rabilit\u00e9 de Vixie Cron,\nintroduit une nouvelle vuln\u00e9rabilit\u00e9 permettant \u00e0 une personne mal\nintentionn\u00e9e d'obtenir les privil\u00e8ges root en local.\n","title":"Vuln\u00e9rabilit\u00e9 de Vixie Cron","vendor_advisories":[{"published_at":null,"title":"Avis Debian DSA-054-1 cron","url":null}]}