L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de cpio : modification de droits de fichiers

Synthèse de la vulnérabilité 

Lors de l'utilisation de cpio, un attaquant local peut modifier les droits d'un fichier du système.
Systèmes impactés : Debian, FreeBSD, Mandriva Linux, openSUSE, RHEL, TurboLinux, Unix (plateforme) ~ non exhaustif.
Gravité de cette alerte : 1/4.
Date de création : 14/04/2005.
Dates de révisions : 20/04/2005, 12/07/2005, 22/07/2005, 27/07/2005.
Références de cette alerte : 10197, 20050802-01-U, BID-13159, CERTA-2005-AVI-251, CVE-2005-1111, DSA-846-1, FreeBSD-SA-06:03.cpio, MDKSA-2005:116, MDKSA-2005:116-1, RHSA-2005:378, RHSA-2005:806, RHSA-2005:806-01, SUSE-SR:2006:010, TLSA-2005-80, V6-UNIXCPIOCHMODRACE, VIGILANCE-VUL-4901.

Description de la vulnérabilité 

Le programme cpio permet de copier ou transférer des fichiers.

Sous Unix, lorsqu'un utilisateur possède le droit d'écriture ("w") sur un répertoire, il peut y ajouter ou supprimer des fichiers. Le droit "w" sur un fichier indique simplement si l'utilisateur peut modifier le contenu du fichier. Un utilisateur peut donc effacer un fichier si il possède seulement le droit "w" sur le répertoire.

Lors de l'utilisation de cpio, le fichier est créé, puis un changement de mode est effectué. Cependant, entre ces deux actions, si le répertoire courant possède le droit "w" pour tous les utilisateurs, un attaquant local peut effacer le fichier et le remplacer par un lien hard vers un fichier du système. Les droits de ce fichier sont alors modifiés.

Cette vulnérabilité permet ainsi à un attaquant local de modifier les droits d'accès d'un fichier, avec les privilèges de l'utilisateur de cpio, si le fichier est créé dans un répertoire publiquement modifiable.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité informatique concerne les logiciels ou systèmes comme Debian, FreeBSD, Mandriva Linux, openSUSE, RHEL, TurboLinux, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de menace.

Solutions pour cette menace 

cpio : contre-mesure.
Il faut s'assurer que les fichiers soient créés dans un répertoire uniquement modifiable par l'utilisateur courant (ou sticky).
Un patch non officiel est proposé.

Debian : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
Debian GNU/Linux 3.0 alias woody
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
      Size/MD5 checksum: 61704 c4fd8a026047cd14a9516224d8319e13
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
      Size/MD5 checksum: 84576 5d9d925c312a5a9f141949c134fd23d3
Debian GNU/Linux 3.1 alias sarge
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
      Size/MD5 checksum: 64862 0af18766ab51b22276fe1458e19e6dfa
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
      Size/MD5 checksum: 85968 ec853bd84c3c86a86edd1eaab3daaed9

FreeBSD : patch pour cpio.
Un patch est disponible :
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:03/cpio.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:03/cpio.patch.asc
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/gnu/usr.bin/cpio
# make obj && make depend && make && make install

Mandrake : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 5e09657806ea7779182c7e5a49c22be8 10.0/RPMS/cpio-2.5-4.2.100mdk.i586.rpm
 407b3cef16e5d7153c3af0a685df7109 10.0/SRPMS/cpio-2.5-4.2.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 4a1947f3c7fc27f0b6cc0d9bdf97cfd8 amd64/10.0/RPMS/cpio-2.5-4.2.100mdk.amd64.rpm
 407b3cef16e5d7153c3af0a685df7109 amd64/10.0/SRPMS/cpio-2.5-4.2.100mdk.src.rpm
 Mandrakelinux 10.1:
 c808f5a1689a006e9049e1d8a37ede70 10.1/RPMS/cpio-2.5-4.3.101mdk.i586.rpm
 907e5f404afe7cdd649f8aeaa8444914 10.1/SRPMS/cpio-2.5-4.3.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 71ab78c534f9552ad081c625e92afb45 x86_64/10.1/RPMS/cpio-2.5-4.3.101mdk.x86_64.rpm
 907e5f404afe7cdd649f8aeaa8444914 x86_64/10.1/SRPMS/cpio-2.5-4.3.101mdk.src.rpm
 Mandrakelinux 10.2:
 9db16a5fa7bfc85aa7bb2d199ab5d825 10.2/RPMS/cpio-2.6-3.1.102mdk.i586.rpm
 131667db822df5a4cec71e24cdc51b69 10.2/SRPMS/cpio-2.6-3.1.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 4d5b31e9bdd5d1c81fc61ec3a863f7ff x86_64/10.2/RPMS/cpio-2.6-3.1.102mdk.x86_64.rpm
 131667db822df5a4cec71e24cdc51b69 x86_64/10.2/SRPMS/cpio-2.6-3.1.102mdk.src.rpm

RHEL : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3: cpio-2.5-4.RHEL3
Red Hat Enterprise Linux version 4: cpio-2.5-8.RHEL4

RHEL : nouveaux paquetages cpio.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1: cpio-2.4.2-25

SGI ProPack : nouveaux paquetages et patch.
Le patch 10197 est disponible :
  http://support.sgi.com/
Des RPMs individuels sont proposés :
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

SUSE : nouveaux paquetages opera, pdns, cpio, ethereal, clamav, struts.
De nouveaux paquetages sont disponibles part YaST ou FTP.

Turbolinux : nouveaux paquetages.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance 1.0 : cpio-2.4.2-22
Turbolinux 10 Server : cpio-2.5-5
Turbolinux 10 Desktop : cpio-2.4.2-22
Turbolinux 8 : cpio-2.4.2-22
Turbolinux 7 : cpio-2.4.2-22
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilités applicatives. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.