S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 avril 2004
N° CERTA-2004-AVI-124
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Faille de l'outil Portage sous Gentoo Linux

Gestion du document

Référence CERTA-2004-AVI-124
Titre Faille de l'outil Portage sous Gentoo Linux
Date de la première version08 avril 2004
Date de la dernière version08 avril 2004
Source(s) Avis de sécurité Gentoo
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Altération de la configuration par un utilisateur local
  • Déni de service en local

Systèmes affectés

Toute distribution Gentoo (quelle que soit l'architecture) utilisant Portage dans une version antérieure à la 2.0.50-r3.

Résumé

Une faille dans Portage peut être utilisée localement pour écraser tout fichier, en particulier de configuration.

Description

Portage est l'outil de gestion des paquetages logiciels de la distribution Gentoo Linux. Une faille dans la gestion d'un fichier temporaire peut être exploitée pour écraser des fichiers système sensibles en créant un lien (non symbolique). Les systèmes avec une partition dédiée à /tmp ne sont donc pas affectés.

Solution

Mettre à jour en se référant à l'avis de sécurité Gentoo.

Documentation

Gestion détaillée du document

    le 08 avril 2004
    version initiale.