Risque
- Atteinte à l'intégrité des données
Systèmes affectés
- Gnu GCC versions 3.x ;
- Gnu GCC versions 4.x.
Résumé
Une vulnérabilité dans Gnu GCC permet à un utilisateur mal intentionné de porter atteinte à l'intégrité des données du système.
Description
Gnu GCC est un compilateur libre pour différents langages comme C ou C++ mais aussi Java. Une erreur est présente dans un composant de Gnu GCC nommé fastjar mettant en œuvre la gestion des fichiers archive de type JAR (Java Archive). Cette vulnérabilité permet à un utilisateur mal intentionné d'écraser des fichiers du système par ceux présents dans l'archive par une technique de type « traversée de repertoire » au moyen d'un fichier JAR construit de façon particulière.
Solution
Appliquer le correctif approprié :
http://gcc.gnu.org/bugzilla/attachment.cgi?id=11904&action=view
Documentation
- Rapport d'erreur #28359 du projet gcc du 17 juillet 2006 http://gcc.gnu.org/bugzilla/show_bug.cgi?id=28359
- Bulletin de sécurité Debian DSA-1170 du 06 septembre 2006 : http://www.debian.org/security/2006/dsa-1170
- Site de Gnu GCC : http://gcc.gnu.org
- Référence CVE CVE-2006-3619 https://www.cve.org/CVERecord?id=CVE-2006-3619