{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>gzip 1.x et versions ant\u00e9rieures.</p>","content":"## Description\n\nL'application gzip est un outil de compression, pr\u00e9sent dans de\nnombreuses biblioth\u00e8ques fournies avec des distributions de Linux et\nUnix. Les scripts gzexe.in, zdiff.in et znew.in pr\u00e9sents dans gzip sont\nvuln\u00e9rables \u00e0 une attaque classique d'\u00e9crasement de fichiers via le\nsuivi des liens symboliques. A l'aide de liens habilement constitu\u00e9s, un\nutilisateur mal intentionn\u00e9, ayant un acc\u00e8s local au syst\u00e8me, peut\nforcer la modification de fichiers avec les droits de la victime.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"R\u00e9f\u00e9rence CVE CAN-2004-0970 :","url":"http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0970"},{"title":"Site Internet de gzip :","url":"http://www.gzip.org"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-588 du 08 novembre 2004 :","url":"http://www.debian.org/security/2004/dsa-588"}],"reference":"CERTA-2004-AVI-364","revisions":[{"description":"version initiale.","revision_date":"2004-11-09T00:00:00.000000"},{"description":"ajout du site Internet de gzip et de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.","revision_date":"2004-12-10T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"}],"summary":"Une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans gzip permet \u00e0 un utilisateur local,\nmal intentionn\u00e9, de porter atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es pr\u00e9sentes\nsur le syst\u00e8me.\n","title":"Vuln\u00e9rabilit\u00e9 de gzip","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Trustix #2004-0050","url":"http://www.trustix.org/errata/2004/0050/"}]}