Risque
- Corruption de données
Systèmes affectés
Versions des sources de sysstat antérieures à la version 5.0.2.
Description
Le paquetage sysstat comprend un ensemble d'outils (sar, iostat, etc.) permettant de visualiser les performances du système.
Une vulnérabilité (mauvaise gestion des fichiers temporaires) présente dans la commande isag (outil graphique de visualisation des statistiques) peut être exploitée par un utilisateur mal intentionné afin de corrompre n'importe quel fichier du système accessible en écriture par l'utilisateur lançant la commande isag.
Solution
La version 5.0.2 de sysstat corrige cette vulnérabilité.
Documentation
- Bulletin de sécurité DSA-460 de Debian http://www.debian.org/security/2004/dsa-460
- Bulletin de sécurité RHSA-2004:053 de Red Hat http://rhn.redhat.com/errata/RHSA-2004-053.html
- Bulletin de sécurité Gentoo GLSA 200404-04 : http://www.gentoo.org/security/en/glsa/glsa-200404-04.xml
- Bulletin de sécurité RHSA-2004:093 de Red Hat : http://rhn.redhat.com/errata/RHSA-2004-093.html
- Page de sysstat : http://perso.wanadoo.fr/sebastien.godard