S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 octobre 2001
N° CERTA-2001-AVI-135
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans sdiff

Gestion du document

Référence CERTA-2001-AVI-135
Titre Vulnérabilité dans sdiff
Date de la première version31 octobre 2001
Date de la dernière version31 octobre 2001
Source(s) Avis de sécurité RedHat RHSA-2001:116-03
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Corruption de fichiers
  • Déni de service

Systèmes affectés

La commande sdiff est présente dans le paquetage diffutils installé sur de nombreux systèmes Unix ou Linux.

Les versions 2.7 et antérieures du paquetage diffutils sont vulnérables.

Résumé

Une vulnérabilité dans la commande sdiff du paquetage diffutils peut , sous certaines conditions, permettre à un utilisateur mal intentionné de corrompre n'importe quel fichier du système.

Description

La commande sdiff est présente dans le paquetage diffutils installé sur de nombreux systèmes Unix ou Linux.

Une vulnérabilité présente dans la création des fichiers temporaires en mode "edit" peut, sous certaines conditions, permettre à un utilisateur mal intentionné de corrompre n'importe quel fichier du système.

Contournement provisoire

Avant d'utiliser la commande sdiff, redéfinir la variable d'environnement TMPDIR afin de forcer la création des fichiers temporaires dans un répertoire uniquement accessible par l'utilisateur.

Solution

Utiliser le correctif disponible à l'adresse suivante:

http://www.linux-mandrake.com/cgi-bin/cvsweb.cgi/SPECS/diffutils/diffutils-2.7-immunix-owl-tmp.patch

Ce correctif est utilisable avec la dernière version (2.7) de diffutils:

http://www.gnu.org/software/diffutils/diffutils.html

Gestion détaillée du document

    le 31 octobre 2001
    version initiale.