Risque
Corruption de données.
Systèmes affectés
Versions des sources de sysstat antérieures à la version 5.0.2.
Description
Le paquetage sysstat comprend un ensemble d'outils (sar, iostat, etc.) permettant de visualiser les performances du système.
Une vulnérabilité (mauvaise gestion des fichiers temporaires) présente dans la commande isag (outil graphique de visualisation des statistiques) peut être exploitée par un utilisateur mal intentionné afin de corrompre n'importe quel fichier du système accessible en écriture par l'utilisateur lançant la commande isag.
Solution
La version 5.0.2 de sysstat corrige cette vulnérabilité.
Documentation
- Page de sysstat :
http://perso.wanadoo.fr/sebastien.godard
- Bulletin de sécurité DSA-460 de Debian :
http://www.debian.org/security/2004/dsa-460
- Bulletin de sécurité RHSA-2004:093 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-093.html
- Bulletin de sécurité RHSA-2004:053 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-053.html
- Bulletin de sécurité Gentoo GLSA 200404-04 :
http://www.gentoo.org/security/en/glsa/glsa-200404-04.xml
- Référence CVE CAN-2004-0107 :
https://www.cve.org/CVERecord?id=CAN-2004-0107
- Référence CVE CAN-2004-0108 :
https://www.cve.org/CVERecord?id=CAN-2004-0108