S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 janvier 2002
N° CERTA-2002-AVI-009
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de la commande at

Gestion du document

Référence CERTA-2002-AVI-009
Titre Vulnérabilité de la commande at
Date de la première version21 janvier 2002
Date de la dernière version21 janvier 2002
Source(s) Bulettin de sécurité DSA 102-1 de Debian
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

at Version 3.1.8 ou antérieures.

Résumé

at est un utilitaire qui permet l'exécution d'une commande à une heure spécifiée.

Une vulnérabilité présente dans at permet à un utilisateur mal intentionné de prendre les droits du super-utilisateur sur la machine.

Description

Le problème est dû à l'analyseur syntaxique qui désalloue la même allocation de mémoire deux fois.

Un utilisateur peut exploiter cette vulnérabilité pour réaliser une élévation de privilèges. Cette vulnérabilité n'est exploitable qu'en local.

Solution

Installer les mises à jour disponibles sous forme de paquetage pour les distributions Linux (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 janvier 2002
    version initiale.