S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 septembre 2002
N° CERTA-2002-AVI-200
Affaire suivie par: CERT-FR
le 04 septembre 2002

Avis du CERT-FR

Objet: Vulnérabilité de scrollkeeper

Gestion du document

Référence CERTA-2002-AVI-200
Titre Vulnérabilité de scrollkeeper
Date de la première version 04 septembre 2002
Date de la dernière version 04 septembre 2002
Source(s) Bulletin de sécurité RHSA-2002:186 de Red Hat
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Corruption de fichiers ;
  • déni de service.

Systèmes affectés

Scrollkeeper versions 3.0 à 3.11.

Résumé

En exploitant une vulnérabilité présente dans l'application scrollkeeper, un utilisateur local peut corrompre n'importe quel fichier du système.

Description

Scrollkeeper est une application permettant de gérer la documentation d'un système. Scrollkeeper est utilisée depuis des applications telles le navigateur khelpcenter (aide en ligne sous KDE) ou nautilus (gestionnaire de fichiers sous GNOME 1.4).


L'exécutable /usr/bin/scrollkeepr-get-cl crée des fichiers temporaires avec des noms prédictibles. Sous certaines conditions, un utilisateur mal intentionné peut exploiter cette vulnérabilité pour corrompre n'importe quel fichier du système. Cette vulnérabilité ne peut être exploitée que par un utilisateur possédant un compte local.

Solution

Des mises à jour sont disponibles sous forme de paquetages pour les distributions Linux (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 04 septembre 2002
    version initiale.