CERTA-2004-AVI-124

Vulnerability from certfr_avis - Published: - Updated:

Une faille dans Portage peut être utilisée localement pour écraser tout fichier, en particulier de configuration.

Description

Portage est l'outil de gestion des paquetages logiciels de la distribution Gentoo Linux. Une faille dans la gestion d'un fichier temporaire peut être exploitée pour écraser des fichiers système sensibles en créant un lien (non symbolique). Les systèmes avec une partition dédiée à /tmp ne sont donc pas affectés.

Solution

Mettre à jour en se référant à l'avis de sécurité Gentoo.

Toute distribution Gentoo (quelle que soit l'architecture) utilisant Portage dans une version antérieure à la 2.0.50-r3.

Impacted products
Vendor Product Description
References
Avis de sécurité Gentoo None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToute distribution \u003cSPAN class=\n  \"textit\"\u003eGentoo\u003c/SPAN\u003e (quelle que soit l\u0027architecture) utilisant  \u003cSPAN class=\"textit\"\u003ePortage\u003c/SPAN\u003e dans une version ant\u00e9rieure \u00e0  la 2.0.50-r3.\u003c/p\u003e",
  "content": "## Description\n\nPortage est l\u0027outil de gestion des paquetages logiciels de la\ndistribution Gentoo Linux. Une faille dans la gestion d\u0027un fichier\ntemporaire peut \u00eatre exploit\u00e9e pour \u00e9craser des fichiers syst\u00e8me\nsensibles en cr\u00e9ant un lien (non symbolique). Les syst\u00e8mes avec une\npartition d\u00e9di\u00e9e \u00e0 /tmp ne sont donc pas affect\u00e9s.\n\n## Solution\n\nMettre \u00e0 jour en se r\u00e9f\u00e9rant \u00e0 l\u0027avis de s\u00e9curit\u00e9 Gentoo.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2004-AVI-124",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-04-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service en local"
    },
    {
      "description": "Alt\u00e9ration de la configuration par un utilisateur local"
    }
  ],
  "summary": "Une faille dans \u003cspan class=\"textit\"\u003ePortage\u003c/span\u003e peut \u00eatre utilis\u00e9e\nlocalement pour \u00e9craser tout fichier, en particulier de configuration.\n",
  "title": "Faille de l\u0027outil Portage sous Gentoo Linux",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Gentoo",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200404-01.xml"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.