L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de cpio : extraction de fichiers hors du répertoire courant

Synthèse de la vulnérabilité 

Les fichiers d'une archive cpio peuvent être extraits hors du répertoire courant.
Systèmes vulnérables : Debian, FreeBSD, Mandriva Linux, Mandriva NF, openSUSE, TurboLinux, Unix (plateforme) ~ non exhaustif.
Gravité de cette menace : 1/4.
Date de création : 21/04/2005.
Dates de révisions : 12/07/2005, 27/07/2005.
Références de cette faille : BID-13291, CVE-2005-1229, DSA-846-1, FreeBSD-SA-06:03.cpio, MDKSA-2005:116, MDKSA-2005:116-1, MDKSA-2007:233, SUSE-SR:2006:010, TLSA-2005-80, V6-UNIXCPIOSLASHEXTRACT, VIGILANCE-VUL-4922.

Description de la vulnérabilité 

Le programme cpio permet de copier ou transférer des fichiers.

Ce programme ne vérifie pas la présence du caractère '/' en début de nom de fichier. Ainsi, si l'archive contient /etc/passwd, et est extraite par root, le fichier des mots de passe sera écrasé par celui de l'archive.

Cette vulnérabilité permet ainsi à un attaquant de créer des fichiers sur le système des utilisateurs extrayant une archive cpio illicite.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme Debian, FreeBSD, Mandriva Linux, Mandriva NF, openSUSE, TurboLinux, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace 

cpio : contre-mesure.
Il est recommandé de ne pas extraire d'archive de provenance non sûre, de vérifier son contenu, et d'utiliser un compte non privilégié.

Debian : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
Debian GNU/Linux 3.0 alias woody
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
      Size/MD5 checksum: 61704 c4fd8a026047cd14a9516224d8319e13
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
      Size/MD5 checksum: 84576 5d9d925c312a5a9f141949c134fd23d3
Debian GNU/Linux 3.1 alias sarge
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
      Size/MD5 checksum: 64862 0af18766ab51b22276fe1458e19e6dfa
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
      Size/MD5 checksum: 85968 ec853bd84c3c86a86edd1eaab3daaed9

FreeBSD : patch pour cpio.
Un patch est disponible :
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:03/cpio.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:03/cpio.patch.asc
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/gnu/usr.bin/cpio
# make obj && make depend && make && make install

Mandrake : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 5e09657806ea7779182c7e5a49c22be8 10.0/RPMS/cpio-2.5-4.2.100mdk.i586.rpm
 407b3cef16e5d7153c3af0a685df7109 10.0/SRPMS/cpio-2.5-4.2.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 4a1947f3c7fc27f0b6cc0d9bdf97cfd8 amd64/10.0/RPMS/cpio-2.5-4.2.100mdk.amd64.rpm
 407b3cef16e5d7153c3af0a685df7109 amd64/10.0/SRPMS/cpio-2.5-4.2.100mdk.src.rpm
 Mandrakelinux 10.1:
 c808f5a1689a006e9049e1d8a37ede70 10.1/RPMS/cpio-2.5-4.3.101mdk.i586.rpm
 907e5f404afe7cdd649f8aeaa8444914 10.1/SRPMS/cpio-2.5-4.3.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 71ab78c534f9552ad081c625e92afb45 x86_64/10.1/RPMS/cpio-2.5-4.3.101mdk.x86_64.rpm
 907e5f404afe7cdd649f8aeaa8444914 x86_64/10.1/SRPMS/cpio-2.5-4.3.101mdk.src.rpm
 Mandrakelinux 10.2:
 9db16a5fa7bfc85aa7bb2d199ab5d825 10.2/RPMS/cpio-2.6-3.1.102mdk.i586.rpm
 131667db822df5a4cec71e24cdc51b69 10.2/SRPMS/cpio-2.6-3.1.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 4d5b31e9bdd5d1c81fc61ec3a863f7ff x86_64/10.2/RPMS/cpio-2.6-3.1.102mdk.x86_64.rpm
 131667db822df5a4cec71e24cdc51b69 x86_64/10.2/SRPMS/cpio-2.6-3.1.102mdk.src.rpm

Mandriva : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
 
 Mandriva Linux 2007.0:
 88af30721a848b5fd4b3e26c5c055846 2007.0/i586/cpio-2.6-7.1mdv2007.0.i586.rpm
 250697255ccc671ca2a01c2ba762aac6 2007.0/SRPMS/cpio-2.6-7.1mdv2007.0.src.rpm
 Mandriva Linux 2007.0/X86_64:
 fc1e32f7b528997237b392b1c1da9c3c 2007.0/x86_64/cpio-2.6-7.1mdv2007.0.x86_64.rpm
 250697255ccc671ca2a01c2ba762aac6 2007.0/SRPMS/cpio-2.6-7.1mdv2007.0.src.rpm
 Mandriva Linux 2007.1:
 0814f474aa054b2b7fc92af6e1f5ba01 2007.1/i586/cpio-2.7-3.1mdv2007.1.i586.rpm
 7292ed206fa271c377cbe72577b42a0d 2007.1/SRPMS/cpio-2.7-3.1mdv2007.1.src.rpm
 Mandriva Linux 2007.1/X86_64:
 851d9793b6f791817bc76b558f8fdd5b 2007.1/x86_64/cpio-2.7-3.1mdv2007.1.x86_64.rpm
 7292ed206fa271c377cbe72577b42a0d 2007.1/SRPMS/cpio-2.7-3.1mdv2007.1.src.rpm
 Mandriva Linux 2008.0:
 a6747328c665be64979fee53f3878fdb 2008.0/i586/cpio-2.9-2.1mdv2008.0.i586.rpm
 de436966331be58abba226049bff8edf 2008.0/SRPMS/cpio-2.9-2.1mdv2008.0.src.rpm
 Mandriva Linux 2008.0/X86_64:
 953e95a47bb9a978aa1b98e1c7f56e65 2008.0/x86_64/cpio-2.9-2.1mdv2008.0.x86_64.rpm
 de436966331be58abba226049bff8edf 2008.0/SRPMS/cpio-2.9-2.1mdv2008.0.src.rpm
 Corporate 3.0:
 4dfe1f2b387d396eca07927d65a77ce4 corporate/3.0/i586/cpio-2.5-4.4.C30mdk.i586.rpm
 10e1e7fcb59c195b6f679b80e75fade0 corporate/3.0/SRPMS/cpio-2.5-4.4.C30mdk.src.rpm
 Corporate 3.0/X86_64:
 dc91afd2f8c7b93a95b898cc9a98182a corporate/3.0/x86_64/cpio-2.5-4.4.C30mdk.x86_64.rpm
 10e1e7fcb59c195b6f679b80e75fade0 corporate/3.0/SRPMS/cpio-2.5-4.4.C30mdk.src.rpm
 Corporate 4.0:
 79936c67409d3889d7988fecfde649b5 corporate/4.0/i586/cpio-2.6-5.1.20060mlcs4.i586.rpm
 593f22ed1a261614a1f0d45932b6c441 corporate/4.0/SRPMS/cpio-2.6-5.1.20060mlcs4.src.rpm
 Corporate 4.0/X86_64:
 a32dd1c2fcb89b32dacd9c7f5d56acd7 corporate/4.0/x86_64/cpio-2.6-5.1.20060mlcs4.x86_64.rpm
 593f22ed1a261614a1f0d45932b6c441 corporate/4.0/SRPMS/cpio-2.6-5.1.20060mlcs4.src.rpm
 Multi Network Firewall 2.0:
 3abab72dae445f67c65d58f975f8816c mnf/2.0/i586/cpio-2.5-4.4.M20mdk.i586.rpm
 2a1e733d240e05b2771c135ebcbca4d4 mnf/2.0/SRPMS/cpio-2.5-4.4.M20mdk.src.rpm

SUSE : nouveaux paquetages opera, pdns, cpio, ethereal, clamav, struts.
De nouveaux paquetages sont disponibles part YaST ou FTP.

Turbolinux : nouveaux paquetages.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance 1.0 : cpio-2.4.2-22
Turbolinux 10 Server : cpio-2.5-5
Turbolinux 10 Desktop : cpio-2.4.2-22
Turbolinux 8 : cpio-2.4.2-22
Turbolinux 7 : cpio-2.4.2-22
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilités de réseaux. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.