Changer l'apparence
Alertes: a2ps 4.x escalade de privilèges
Groupe(s) OS affecté(s) : UNIX
Impact(s) : Escalade de privilèges
Solution : Patch du fournisseur
Exploit : Non disponible
ZATAZ ID : ASZ-2004-17
Localisation(s) : Locale
Date de découverte : 28.12.2004
Date de modification : 09.01.2005
Ces deux vulnérabilités peuvent être exploitées par des utilisateur locaux pour exécuter certaines actions sur un système vulnérable qui déboucheraient sur une escalade de privilèges.
Javier Fernández-Sanguino Peña a découvert deux vulnérabilité dans le logiciel a2ps. Les vulnérabilités sont dues aux scripts "fixps.in" et "psmandup.in" qui créés des fichiers temporaires non sécurisés. Ces fichiers temporaires non sécurisés peuvent permettre des attaques du type lien symbolique afin d'écraser des fichiers arbitraires avec les privilèges de l'utilisateur qui a lancer les scripts vulnérables. Ces vulnérabilités ont été découvertes dans la version 4.13b, mais les versions antérieures peuvent aussi être affectées.
Aucune mise à jour n'est encore disponible. Eviter d'utiliser ces deux scripts sur un système vulnérable.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net