S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 octobre 2010
N° CERTA-2010-AVI-520
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans glibc

Gestion du document

Référence CERTA-2010-AVI-520
Titre Vulnérabilité dans glibc
Date de la première version28 octobre 2010
Date de la dernière version28 octobre 2010
Source(s) Avis de sécurité Red Hat RHSA-2010:0787-1

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

GNU glibc 2.x

Résumé

Une vulnérabilité dans la bibliothèque glibc permet à un utilisateur malintentionné d'élever ses priviléges.

Description

Une vulnérabilité a été corrigée dans l'éditeur de liens de glibc. Ce dernier ne contrôle pas correctement le champ $ORIGIN dans la variable d'environnement LD_AUDIT. Un attaquant local, avec les droits d'accès en écriture sur un système contenant des exécutable avec les attributs setuid ou setgid activés, peut utiliser cette vulnérabilité pour élever ses priviléges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 octobre 2010
    version initiale.