{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me Unix avec la commande <SPAN class=\n  \"textit\">mformat</SPAN> des <SPAN class=\"textit\">mtools</SPAN>  install\u00e9e avec les droits ``set user id'' (setuid) <SPAN class=\n  \"textit\">root</SPAN>.</P>","content":"## Description\n\nLes mtools permettent d'acc\u00e9der \u00e0 des disques MS-DOS sans n\u00e9cessit\u00e9 de\nmonter les disques en question dans le syst\u00e8me de fichiers. Afin de\npermettre \u00e0 un utilisateur non privil\u00e9gi\u00e9 d'utiliser ces commandes, ces\noutils peuvent \u00eatre install\u00e9s avec d\u00e9l\u00e9gation des privil\u00e8ges\nadministrateur (setuid root).\n\nmformat conservant ses privil\u00e8ges, il est possible de d\u00e9tourner son\nfonctionnement pour acc\u00e9der au syst\u00e8me de fichiers avec les droits root.\n\n## Contournement provisoire\n\nSupprimer les privil\u00e8ges \\`\\`setuid'' root de la commande mformat.\n\n## Solution\n\nMettre \u00e0 jour en suivant les recommendations de l'\u00e9diteur :\n\n-   Linux Mandrake :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:016\n","cves":[],"links":[{"title":"Site des mtools :","url":"http://mtools.linux.lu/"}],"reference":"CERTA-2004-AVI-058","revisions":[{"description":"version initiale.","revision_date":"2004-03-01T00:00:00.000000"}],"risks":[{"description":"Usurpation locale des privil\u00e8ges administrateur"},{"description":"Atteintes \u00e0 l'int\u00e9grit\u00e9 et \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Un utilisateur local mal intentionn\u00e9 peut d\u00e9tourner la commande <span\nclass=\"textit\">mformat</span> pour lire ou \u00e9crire des fichiers\narbitraires sur le syst\u00e8me.\n","title":"Vuln\u00e9rabilit\u00e9 des mtools sous Unix","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Mandrake Linux","url":null}]}