S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 septembre 2001
N° CERTA-2001-AVI-101
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans le paquetage setserial

Gestion du document

Référence CERTA-2001-AVI-101
Titre Vulnérabilité dans le paquetage setserial
Date de la première version27 septembre 2001
Date de la dernière version27 septembre 2001
Source(s) Avis de sécurité RedHat RHSA-2001:11-05
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Corruption de fichiers
  • Déni de service

Systèmes affectés

Paquetage setserial-2.17-4 et les versions antérieures.

Ce paquetage est présent dans les distributions RedHat et Mandrake.

Résumé

Une vulnérabilité dans le script serial du paquetage setserial peut permettre à un utilisateur mal intentionné de corrompre n'importe quel fichier du système.

Description

Le paquetage setserial est utilisé pour visualiser ou modifier le paramétrage des ports série.

4.0.0.1

Le script serial fournit avec le paquetage setserial utilise des fichiers temporaires dont le nom peut être connu à l'avance. Un utilisateur mal intentionné peut utiliser cette faille du script pour corrompre n'importe quel fichier du système.

La vulnérabilité n'est toutefois exploitable que si le noyau est configuré pour supporter les ports série sous forme de modules.

Solution

Ne pas utiliser le script serial fournit avec le paquetage setserial.

Une autre solution consiste à utiliser un noyau ne supportant pas les ports série sous forme de modules.

Gestion détaillée du document

    le 27 septembre 2001
    version initiale.