Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
cpio version 2.6 et versions antérieures.
Description
cpio est un logiciel libre permettant la création et la manipulation
d'archives.
Deux vulnérabilités dans cpio permettent à un utilisateur local mal
intentionné de modifier des permissions de fichiers du système
vulnérable (CAN-2005-1111) et à un utilisateur distant mal intentionné,
au moyen d'une archive habilement constituée, d'écrire dans des
répertoires arbitraires du système vulnérable (CAN-2005-1229).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-846 du 07 octobre : http://www.debian.org/security/2005/dsa-846
- Bulletin de sécurité Mandriva MDKSA-2005:116 du 11 juillet 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:116
- Bulletin de sécurité Mandriva MDKSA-2005:116-1 du 19 juillet 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:116-1
- Bulletin de sécurité RedHat RHSA-2005:378 du 21 juillet 2005 : http://rhn.redhat.com/errata/RHSA-2005-378.html
- Site Internet de GNU cpio : http://www.gnu.org/software/cpio/cpio.html
