Risque
- Élévation de privilèges
Systèmes affectés
FUSE version 2.4.1 et versions antérieures.
Résumé
Une vulnérabilité a été découverte dans FUSE permettant d'élever ses privilèges en local sur un système vulnérable.
Description
FUSE est un outil permettant d'implémenter un système de fichier dans l'espace de travail d'un programme.
FUSE présente une vulnérabilité permettant à un utilisateur local mal intentionné de corrompre le fichier /etc/mtab.
L'exploitation de cette vulnérabilité n'est possible que si le programme est installé avec le drapeau suid root.
Contournement provisoire
Retirer de l'application le drapeau suid root.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité FUSE du 17 novembre 2005: http://sourceforge.net/project/shownotes.php?release_id=373087
- Bulletin de sécurité Gentoo GLSA-200511-17 du 22 novembre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200511-17.xml
- Bulletin de sécurité Mandriva MDKSA-2005:216 du 24 novembre 2005 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:216
- Référence CVE CVE-2005-3531 https://www.cve.org/CVERecord?id=CVE-2005-3531