Vulnérabilité dans OpenSSL

Gestion du document

Référence	CERTA-2004-AVI-385-002
Titre	Vulnérabilité dans OpenSSL
Date de la première version	02 décembre 2004
Date de la dernière version	06 décembre 2004
Source(s)	Avis de sécurité Debian DSA-603 du 01 décembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Elévation de privilèges.

Systèmes affectés

OpenSSL versions 0.9.6m, 0.9.7d et 0.9.7e.

Résumé

Une vulnérabilité a été découverte dans certaines versions d'OpenSSL, permettant à un utilisateur local mal intentionné d'élever ses privilèges.

Description

Une vulnérabilité présente dans le script der_chop permet à un utilisateur local mal intentionné, en utilisant un lien symbolique, de créer ou d'écraser certains fichiers temporaires avec les privilèges de l'utilisateur ayant lancé le script.

Solution

Appliquer le correctif corrigeant cette faille suivant la distribution affectée (cf. Documentation).

Documentation

Bulletin de sécurité Debian DSA-603 du 01 décembre 2004 :
```
http://www.debian.org/security/2004/dsa-603
```
Bulletin de sécurité Gentoo GLSA-200411-15 du 08 Novembre 2004 :
```
http://security.gentoo.org/glsa/glsa-200411-15.xml
```
Bulletin de sécurité Mandrake MDKSA-2004:147 du 06 décembre 2004 :
```
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:147
```

Bulletin de sécurité Avaya ASA-2005-170 du 29 août 2005 :

http://support.avaya.com/elmodocs2/security/ASA-2005-170.pdf

Référence CVE CAN-2004-0975 :

https://www.cve.org/CVERecord?id=CAN-2004-0975

Gestion détaillée du document

le 31 août 2004: ajout de la référence au bulletin de sécurité Avaya.

le 02 décembre 2004: version initiale.

le 06 décembre 2004: ajout de la référence au bulletin de sécurité Mandrake.

Avis du CERT-FR

Objet: Vulnérabilité dans OpenSSL