{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"cfengine 2.1.16 et versions ant\u00e9rieures.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"cfengine 1.6.5 et versions ant\u00e9rieures ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\ncfengine est outil permettant d'administrer automatiquement un parc de\nmachine.\n\nLes scripts vicf.in, cfmailfilter et cfcron.in utilis\u00e9s par cfengine\nsont vuln\u00e9rables \u00e0 une attaque qui permet l'\u00e9crasement de fichiers via\nle suivi des liens symboliques. A l'aide de liens habilement constitu\u00e9s,\nun utilisateur mal intentionn\u00e9, ayant un acc\u00e8s local au syst\u00e8me, peut\nforcer la modification de fichiers avec les droits de la victime.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-836 01 octobre 2005 :","url":"http://www.debian.org/security/2005/dsa-836"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-198-1 du 10 octobre 2005 :","url":"http://www.ubuntu.com/usn/usn-198-1"},{"title":"Site internet de l'\u00e9diteur :","url":"http://www.cfengine.org/"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-835 01 octobre 2005 :","url":"http://www.debian.org/security/2005/dsa-835"},{"title":"Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:184 13 octobre    2005 :","url":"http://www.mandriva.com/security/advisories?name=MDKSA-2005:184"}],"reference":"CERTA-2005-AVI-384","revisions":[{"description":"version initiale.","revision_date":"2005-10-07T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences au bulletin de s\u00e9curit\u00e9 Ubuntu USN-198-1 et CVE CAN-2005-3137.","revision_date":"2005-10-11T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:184.","revision_date":"2005-10-14T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Deux vuln\u00e9rabilit\u00e9s d\u00e9ouvertes dans l'application cfengine permettent \u00e0\nun utilisateur local mal intentionn\u00e9 d'\u00e9lever ses privil\u00e8ges et de\nporter atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans cfengine","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-836 du 01 octobre 2005","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-835 du 01 octobre 2005","url":null}]}