Vulnérabilité dans OpenSSL

Gestion du document

Référence	CERTA-2004-AVI-385
Titre	Vulnérabilité dans OpenSSL
Date de la première version	31 août 2004
Date de la dernière version	06 décembre 2004
Source(s)	Avis de sécurité Debian DSA-603 du 01 décembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Élévation de privilèges

Systèmes affectés

OpenSSL versions 0.9.6m, 0.9.7d et 0.9.7e.

Résumé

Une vulnérabilité a été découverte dans certaines versions d'OpenSSL, permettant à un utilisateur local mal intentionné d'élever ses privilèges.

Description

Une vulnérabilité présente dans le script der_chop permet à un utilisateur local mal intentionné, en utilisant un lien symbolique, de créer ou d'écraser certains fichiers temporaires avec les privilèges de l'utilisateur ayant lancé le script.

Solution

Appliquer le correctif corrigeant cette faille suivant la distribution affectée (cf. Documentation).

Documentation

Bulletin de sécurité Avaya ASA-2005-170 du 29 août 2005 :

http://support.avaya.com/elmodocs2/security/ASA-2005-170.pdf

Bulletin de sécurité Debian DSA-603 du 01 décembre 2004 :

http://www.debian.org/security/2004/dsa-603

Bulletin de sécurité Gentoo GLSA-200411-15 du 08 Novembre 2004 :

http://security.gentoo.org/glsa/glsa-200411-15.xml

Bulletin de sécurité Mandrake MDKSA-2004:147 du 06 décembre 2004 :

http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:147

Gestion détaillée du document

le 31 août 2004: ajout de la référence au bulletin de sécurité Avaya.
le 02 décembre 2004: version initiale.
le 06 décembre 2004: ajout de la référence au bulletin de sécurité Mandrake.

Avis du CERT-FR

Objet: Vulnérabilité dans OpenSSL