S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 janvier 2002
N° CERTA-2002-AVI-016
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de ptrace dans les systèmes BSD

Gestion du document

Référence CERTA-2002-AVI-016
Titre Vulnérabilité de ptrace dans les systèmes BSD
Date de la première version28 janvier 2002
Date de la dernière version28 janvier 2002
Source(s) Avis de sécurité NetBSD 2002-001
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • FreeBSD versions 4.4 et antérieures.
  • NetBSD 1.4.x versions 1.4.3 et antérieures ;
  • NetBSD 1.5.x versions 1.5.2 et antérieures ;
  • OpenBSD version 3.0 ;

Résumé

Un utilisateur mal intentionné peut, en local, obtenir les droits de l'utilisateur root en utilisant la fonction ptrace.

Description

La commande ptrace est une fonction de débuggage qui permet de contrôler l'exécution d'un processus fils, et d'éditer son image mémoire. Il y a des restrictions sur son utilisation avec des processus ayant le drapeau SUID ou SGID activé.

Une vulnérabilité de ces contrôles dans les noyaux BSD permet à un utilisateur mal intentionné d'obtenir les droits de l'utilisateur root.

Solution

Appliquer les correctifs des éditeurs (cf. Documentation).

Documentation

Gestion détaillée du document

    le 28 janvier 2002
    version initiale.