Centericq - Création Insécurisée de Fichiers Temporaires

Rejoignez-nous sur #zone-h @ irc.eu.freenode.net

RECHERCHE

Menu principal

Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
Attaques Francophones
Archive des attaques
Archive des attaques

Notifier defacements
Restez à l'écoute
Inscription Listes de diffusion
Zone publique active
T'chat IRC
Contact
Performances du Staff
Le Staff de Zone-H

AVIS DE SECURITE

Centericq - Création Insécurisée de Fichiers Temporaires

Avis de sécurité ZHFR-356

Date de publication: 07/07/2005

Auteur: Eric Romang, ZATAZ Audit
Vulnérabilité: Création insécurisée de fichiers temporaires
Impact: Elévation de privilèges
D'où: Système local
Risque:

Modéré
Solution: Aucun correctif
SE: Linux - Unix
Produit: Centericq
Versions affectées: 4.x

Détails:
Eric Romang a découvert une vulnérabilité dans Centericq, celle-ci pourrait être exploitée par des personnes malicieuses d'un système afin d'elever leurs privilèges.

La vulnérabilité est due à une création insécurisée de fichiers temporaires par "gaduhook::handletoken()". Cela pourrait être exploité via des attaques de type symlink afin de créer ou d'écraser des fichiers avec les privilèges de l'utilisateur utilisant le script affecté.

La vulnérabilité a été confirmée dans les versions 4.20.0 et antérieures.

Solution:
Aucun correctif.

Références:
http://secunia.com/advisories/15913/
http://www.zataz.net/adviso/centericq-06152005.txt Avis original

En parler sur le forum...
S'inscrire à la liste de diffusion...

Le contenu de ce site est sous Contrat Public Creative Commons.