L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de cdrtools, cdrecord : corruption de fichiers en mode debug

Synthèse de la vulnérabilité 

Lorsque cdrecord est employé en mode DEBUG, un attaquant local peut altérer un fichier avec les droits de l'utilisateur.
Logiciels vulnérables : Mandriva Linux, Unix (plateforme) ~ non exhaustif.
Gravité de cette annonce : 1/4.
Date de création : 21/04/2005.
Références de cette vulnérabilité informatique : 291376, BID-12891, CVE-2005-0866, MDKSA-2005:077, V6-LINUXCDRECORDRSCSIDEBUG, VIGILANCE-VUL-4921.

Description de la vulnérabilité 

Le paquetage cdrecord, renommé cdrtools, permet à un utilisateur local de graver des cdrom.

La fonctionnalité rscsi permet aux utilisateurs distants d'employer le graveur de cdrom. Afin de localiser un problème, le mode DEBUG peut être activé. Dans ce cas, les erreurs sont journalisées dans un fichier temporaire créé sous /tmp.

Un attaquant local peut employer un lien symbolique situé dans /tmp afin de corrompre un fichier avec les droits de l'utilisateur de cdrecord.

Cette vulnérabilité permet donc à un attaquant local de faire créer ou modifier un fichier.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de vulnérabilité concerne les logiciels ou systèmes comme Mandriva Linux, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de faille informatique est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis cybersécurité.

Solutions pour cette menace 

cdrtools, cdrecord : patch.
Un patch est proposé.

Mandrake : nouveaux paquetages cdrecord.
De nouveaux paquetages sont disponibles :
   
  Mandrakelinux 10.0:
  b76b1f88a021c51f2ed0e01e1655cced 10.0/RPMS/cdrecord-2.01-0.a28.3.100mdk.i586.rpm
  647980c29121e4cb656e0786007e6e5c 10.0/RPMS/cdrecord-cdda2wav-2.01-0.a28.3.100mdk.i586.rpm
  31e3ed2e746db7f53914d063c4cb1ad0 10.0/RPMS/cdrecord-devel-2.01-0.a28.3.100mdk.i586.rpm
  7715dc6d38cf9f89be7ec823ce3ae80a 10.0/RPMS/mkisofs-2.01-0.a28.3.100mdk.i586.rpm
  ba546809bbddf8d3034e19a9eb7b302d 10.0/SRPMS/cdrecord-2.01-0.a28.3.100mdk.src.rpm
  
  Mandrakelinux 10.0/AMD64:
  1bc7d6c833f4457fd95f17f98d79015a amd64/10.0/RPMS/cdrecord-2.01-0.a28.3.100mdk.amd64.rpm
  1ddb746abc3a1330b4807a024b3ca9ee amd64/10.0/RPMS/cdrecord-cdda2wav-2.01-0.a28.3.100mdk.amd64.rpm
  ddf466f2357364d42486693b4532240f amd64/10.0/RPMS/cdrecord-devel-2.01-0.a28.3.100mdk.amd64.rpm
  e899df2f7be3e50b0bd59aef795ffa52 amd64/10.0/RPMS/mkisofs-2.01-0.a28.3.100mdk.amd64.rpm
  ba546809bbddf8d3034e19a9eb7b302d amd64/10.0/SRPMS/cdrecord-2.01-0.a28.3.100mdk.src.rpm
  
  Mandrakelinux 10.1:
  794bf04c820b0260d0e694f062c905f2 10.1/RPMS/cdrecord-2.01-1.1.101mdk.i586.rpm
  42ec8777385b893d8251599570c36c73 10.1/RPMS/cdrecord-cdda2wav-2.01-1.1.101mdk.i586.rpm
  3d058e44f07c83879278baaa495e8450 10.1/RPMS/cdrecord-devel-2.01-1.1.101mdk.i586.rpm
  e6a9c9c198b54ea22adc0bd7911cffaf 10.1/RPMS/cdrecord-isotools-2.01-1.1.101mdk.i586.rpm
  c1c45207be3fd2ca3aefb58a644bc82a 10.1/RPMS/cdrecord-vanilla-2.01-1.1.101mdk.i586.rpm
  37ab3e2083acb6faa1e7b36afe2165a7 10.1/RPMS/mkisofs-2.01-1.1.101mdk.i586.rpm
  768f4f60b9790fac5b557746c98e3505 10.1/SRPMS/cdrecord-2.01-1.1.101mdk.src.rpm
  
  Mandrakelinux 10.1/X86_64:
  e8480e54f0ceb69ad4b24ef8a708a9b9 x86_64/10.1/RPMS/cdrecord-2.01-1.1.101mdk.x86_64.rpm
  6599dacd7cc7f2348afc4b163f958364 x86_64/10.1/RPMS/cdrecord-cdda2wav-2.01-1.1.101mdk.x86_64.rpm
  1701e03afa8804c5c98322a90af10ba5 x86_64/10.1/RPMS/cdrecord-devel-2.01-1.1.101mdk.x86_64.rpm
  2cfb1b7cd36e366f9f869934a580a996 x86_64/10.1/RPMS/cdrecord-isotools-2.01-1.1.101mdk.x86_64.rpm
  77cbb47faa8da69d4757043a50163c97 x86_64/10.1/RPMS/cdrecord-vanilla-2.01-1.1.101mdk.x86_64.rpm
  1ecb8362b876ba63d81bafc0079db541 x86_64/10.1/RPMS/mkisofs-2.01-1.1.101mdk.x86_64.rpm
  768f4f60b9790fac5b557746c98e3505 x86_64/10.1/SRPMS/cdrecord-2.01-1.1.101mdk.src.rpm
  
  Mandrakelinux 10.2:
  e88cb26c11fa7db8cc0d635dc3f09746 10.2/RPMS/cdrecord-2.01.01-0.a01.6.1.102mdk.i586.rpm
  d581a2787035515872382465d5a0b52d 10.2/RPMS/cdrecord-cdda2wav-2.01.01-0.a01.6.1.102mdk.i586.rpm
  96f46be6665c42b4a24f03cdfecda60f 10.2/RPMS/cdrecord-devel-2.01.01-0.a01.6.1.102mdk.i586.rpm
  a7abba59fdf0e767c2d6029ea681c457 10.2/RPMS/cdrecord-isotools-2.01.01-0.a01.6.1.102mdk.i586.rpm
  51a00a1b64e8ec4ea09b399ebfce1da1 10.2/RPMS/cdrecord-vanilla-2.01.01-0.a01.6.1.102mdk.i586.rpm
  33bab4de7eced57809cb3e88fd4da58c 10.2/RPMS/mkisofs-2.01.01-0.a01.6.1.102mdk.i586.rpm
  f3fb0008491fe53605279f76b218cb8d 10.2/SRPMS/cdrecord-2.01.01-0.a01.6.1.102mdk.src.rpm
  
  Mandrakelinux 10.2/X86_64:
  15a112f392f250ea82a2bc54bb74f32f x86_64/10.2/RPMS/cdrecord-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  7c872b9867899f5b7f4c30c37ca1c4e0 x86_64/10.2/RPMS/cdrecord-cdda2wav-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  06ebe0c9e9f8c1366d19122d77841270 x86_64/10.2/RPMS/cdrecord-devel-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  fe2c5214b8e5765326177a606afd8995 x86_64/10.2/RPMS/cdrecord-isotools-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  3f16d1f23475953132c39e73d5a5eb36 x86_64/10.2/RPMS/cdrecord-vanilla-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  d41ca3a964192961a8df1ebc51d74b14 x86_64/10.2/RPMS/mkisofs-2.01.01-0.a01.6.1.102mdk.x86_64.rpm
  f3fb0008491fe53605279f76b218cb8d x86_64/10.2/SRPMS/cdrecord-2.01.01-0.a01.6.1.102mdk.src.rpm
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif de vulnérabilité de système. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.