Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données.
Systèmes affectés
Toutes les versions de cpio.
Description
cpio est un logiciel libre permettant la création et la manipulation d'archives.Une vulnérabilité dans la gestion des droits de l'archive générée lors de l'utilisation de l'option -o ou -create, en omettant de spécifier l'option -O, permet à un utilisateur mal intentionné de porter atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de cpio :
http://www.gnu.org/software/cpio/cpio.html
- Bulletin de sécurité Debian DSA-664 du 02 février 2005 :
http://www.debian.org/security/2005/dsa-664
- Bulletin de sécurité Mandrake MDKSA-2005:032 du 10 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:032
- Bulletin de sécurité Mandrake MDKSA-2005:032-1 du 11 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:032-1
- Bulletin de sécurité RedHat RHSA-2005:073-07 du 15 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-073.html
- Bulletin de sécurité RedHat RHSA-2005:080 du 18 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-080.html
- Bulletin de sécurité OpenBSD pour gcpio du 11 février 2005 :
http://www.vuxml.org/openbsd/
- Bulletin de sécurité Gentoo pour cpio du 20 juin 2005 :
http://security.gentoo.org/glsa/glsa-200506-16.xml
- Bulletin de sécurité Avaya pour cpio du 04 octobre 2005 :
http://support.avaya.com/elmodocs2/security/ASA-2005-213.pdf
- Référence CVE CAN-1999-1572 :
https://www.cve.org/CVERecord?id=CAN-1999-1572
