{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Mandrake ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"RedHat ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"OpenLinux.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nLe m\u00e9l (SMTP) et les forums de discussion sur Internet (NNTP) ont \u00e9t\u00e9\ncon\u00e7us pour \u00e9changer des messages textuels en anglais. De nombreux\nsyst\u00e8mes ont donc \u00e9t\u00e9 con\u00e7us pour \u00e9changer des messages ne contenant que\ndes caract\u00e8res imprimables du jeux ASCII. En pratique 7 bits suffisent\npour repr\u00e9senter chaque caract\u00e8re (le bit de poids fort de chaque octet\nest nul).\n\nLorsqu'il faut \u00e9changer des textes avec des caract\u00e8res accentu\u00e9s ou bien\ndes pi\u00e8ces jointes (images, sons, ...) ces syst\u00e8mes ne fonctionnent\nplus, car ils sont confront\u00e9s \u00e0 des octets dont le bit de poids fort\nvaut 1.\n\nUn contournement de cette limitation est d'encoder les donn\u00e9es binaires\nen un ensemble de caract\u00e8res ASCII avant de les \u00e9mettre. Une des normes\npour r\u00e9aliser ce type d'encodage est uuencode (Unix to Unix encode).\n\nPar exemple, l'encodage d'une image :\n\n    begin 644 toto.gif\n    M1TE&.#EA=P!/`/<``.(M,>,N,.,N,M\\N,N$O,>(Q-.(Q,N,R,^(I+MPH+N(J\n    [...]\n    ME!`;%1([L4U1L1:;%!B;L46QL1P;%![[L4;A3\"*+%2%;LCMQLBA[$RJ[LDI!\n    8LBY[L3`;LQK[$#8*>[,XF[,ZZQ`!`0`[\n    `\n    end\n\no\u00f9 toto.gif d\u00e9signe le nom du fichier \u00e0 cr\u00e9erlorsque la pi\u00e8ce jointe\nsera d\u00e9cod\u00e9e par le logicieluudecode.\n\nLe paquetage GNU Sharutils est un ensemble de logiciels destin\u00e9s \u00e0 faire\ndes archives shell pour la transmission de donn\u00e9es par le m\u00e9l. Parmis\nles logiciels de ce paquetage, on trouve une impl\u00e9mentation du logiciel\nuudecode.\n\nCette impl\u00e9mentation d'uudecode ne v\u00e9rifie pas, avant d'\u00e9crire le\nfichier d\u00e9cod\u00e9 sur le disque, si le fichier existe d\u00e9j\u00e0 et notamment\ns'il n'est pas un lien ou un tube nomm\u00e9.\n\nCeci permet une attaque classique d'\u00e9crasement de fichiers en suivant\nles liens symboliques. Cette technique peut permettre dans certains cas\nune \u00e9l\u00e9vation de privil\u00e8ges d'un utilisateur local.\n\nD'autres impl\u00e9mentations de uudecode peuvent \u00eatre touch\u00e9es par cette\nvuln\u00e9rabilit\u00e9. La page du CERT Coordination Center pr\u00e9cise quelles sont\nles impl\u00e9mentations vuln\u00e9rables connues.\n\n## Solution\n\nAppliquer le correctif propos\u00e9 pour les impl\u00e9mentations vuln\u00e9rables. Les\navis de s\u00e9curit\u00e9 suivants pr\u00e9cisent des impl\u00e9mentations \u00e0 corriger :\n\n**RedHat**\n:   avis RHSA-2002:065\n\n**OpenLinux**\n:   avis CSSA-2002-040.0\n\n**Mandrake**\n:   avis MDKSA-2002:052\n","cves":[],"links":[{"title":"Page d'accueil du projet GNU Sharutils :      \n;","url":"http://www.gnu.org/software/sharutils/sharutils.html"},{"title":"description de la vuln\u00e9rabilit\u00e9 et des impl\u00e9mentations    vuln\u00e9rables connues sur la page du CERT    Cordination Center :","url":"http://www.kb.cert.org/vuls/id/336083"},{"title":"avis RedHat","url":"http://rhn.redhat.com/errata"},{"title":"avis OpenLinux","url":"http://www.sco.com/support/security"},{"title":"avis Mandrake","url":"http://www.mandrakesecure.net/archives/2002-08/msg00003.php"}],"reference":"CERTA-2002-AVI-243","revisions":[{"description":"version initiale.","revision_date":"2002-11-04T00:00:00.000000"}],"risks":[{"description":"Pertes de donn\u00e9es"},{"description":"\u00c9l\u00e9vations de privil\u00e8ges"},{"description":"D\u00e9nis de service"}],"summary":"Une vuln\u00e9rabilit\u00e9 du logiciel uudecode permet d'\u00e9craser des fichiers,\nconduisant dans certains cas \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges.\n","title":"uudecode ne v\u00e9rifie pas les liens symboliques","vendor_advisories":[{"published_at":null,"title":"Avis OpenLinux : CSSA-2002-040.0","url":null},{"published_at":null,"title":"CVE : CAN-2002-0178","url":null},{"published_at":null,"title":"Mandrake : MDKSA-2002:052","url":null},{"published_at":null,"title":"CERT CC : Vulnerability Note Vu#336083","url":null},{"published_at":null,"title":"RedHat : RHSA-2002:065","url":null}]}