Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données.
Systèmes affectés
cpio version 2.6 et versions antérieures.Description
cpio est un logiciel libre permettant la création et la manipulation d'archives.Deux vulnérabilités dans cpio permettent à un utilisateur local mal intentionné de modifier des permissions de fichiers du système vulnérable (CAN-2005-1111) et à un utilisateur distant mal intentionné, au moyen d'une archive habilement constituée, d'écrire dans des répertoires arbitraires du système vulnérable (CAN-2005-1229).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de GNU cpio :
http://www.gnu.org/software/cpio/cpio.html
- Bulletin de sécurité Mandriva MDKSA-2005:116 du 11 juillet 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:116
- Bulletin de sécurité Mandriva MDKSA-2005:116-1 du 19 juillet 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:116-1
- Bulletin de sécurité RedHat RHSA-2005:378 du 21 juillet 2005 :
http://rhn.redhat.com/errata/RHSA-2005-378.html
- Bulletin de sécurité Debian DSA-846 du 07 octobre :
http://www.debian.org/security/2005/dsa-846
- Référence CVE CAN-2005-1111 :
https://www.cve.org/CVERecord?id=CAN-2005-1111
- Référence CVE CAN-2005-1229 :
https://www.cve.org/CVERecord?id=CAN-2005-1229