S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 août 2002
N° CERTA-2002-AVI-165
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnerabilité de la bibliothèque libmm

Gestion du document

Référence CERTA-2002-AVI-165
Titre Vulnerabilité de la bibliothèque libmm
Date de la première version01 août 2002
Date de la dernière version01 août 2002
Source(s) Bulletin de sécurité DSA 137-1 de Debian
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Modification de données
  • Élévation de privilèges

Systèmes affectés

Toutes les versions de libmm jusqu'à la version 1.1.3 incluse.

Résumé

Une mauvaise gestion des accès concurrents à des fichiers temporaires permet à un utilisateur mal intentionné d'obtenir les privilèges de l'utilisateur privilégié root.

Description

La bibliothèque libmm (paquetage mm) fournit une interface de haut niveau permettant la communication inter-processus. Cette bibliothèque est utilisée par le serveur HTTP apache.

Une mauvaise gestion des accès concurrents à des fichiers temporaires permet à un utilisateur mal intentionné de forcer une application utilisant libmm à écrire dans un fichier arbitraire.

Cette vulnérabilité n'est exploitable que par un utilisateur local.

Solution

Appliquer les correctifs des différents éditeurs (Consultez la section documentation).

Documentation

Gestion détaillée du document

    le 01 août 2002
    version initiale.