L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de gzip : extraction de fichiers hors du répertoire courant

Synthèse de la vulnérabilité 

Lorsque l'option -N de gunzip est employée, les fichiers peuvent être extraits hors du répertoire courant.
Produits impactés : Debian, Fedora, FreeBSD, Mandriva Linux, Solaris, Trusted Solaris, RedHat Linux, TurboLinux, Unix (plateforme) ~ non exhaustif.
Gravité de ce bulletin : 1/4.
Date de création : 21/04/2005.
Dates de révisions : 19/05/2005, 02/06/2005, 10/06/2005, 23/06/2005, 12/07/2005, 21/07/2005.
Références de cette menace : 101816, 20050603-01-U, 305255, 6283819, 6294656, BID-13290, CVE-2005-1228, DSA-752, DSA-752-1, FLSA-2005:157696, FreeBSD-SA-05:11, FreeBSD-SA-05:11.gzip.asc, MDKSA-2005:092, SGI 20050603, TLSA-2005-59, V6-UNIXGZIPNEXTRACT, VIGILANCE-VUL-4923.

Description de la vulnérabilité 

L'option -N de gunzip permet de restaurer les noms (par exemple si le nom est tronqué) et les dates des fichiers de l'archive.

Cependant, lors de l'emploi de cette option, la présence du caractère '/' en début de nom de fichier n'est pas vérifiée. Ainsi, si l'archive contient /etc/passwd, et est extraite par root, le fichier des mots de passe sera écrasé par celui de l'archive.

Cette vulnérabilité permet ainsi à un attaquant de créer des fichiers sur le système des utilisateurs extrayant une archive gzip illicite.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce cyber-sécurité concerne les logiciels ou systèmes comme Debian, Fedora, FreeBSD, Mandriva Linux, Solaris, Trusted Solaris, RedHat Linux, TurboLinux, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité.

Solutions pour cette menace 

gzip : contre-mesure.
Un patch non officiel est proposé.
Une autre solution consiste à ne pas utiliser l'option -N.

Debian : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
  Source archives:
    http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.dsc
      Size/MD5 checksum: 577 b948bd1c9e50578a4a9109eed8090d20
    http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.diff.gz
      Size/MD5 checksum: 7146 59a0d39e9d98109bc698c22d6803516f
    http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2.orig.tar.gz
      Size/MD5 checksum: 311011 57bff96b6b4bcbb060566bdbed29485d
  Intel IA-32 architecture:
    http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_i386.deb
      Size/MD5 checksum: 62238 c323f08a1c1c30e10800f36eed4ec3d4
  Intel IA-64 architecture:
    http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_ia64.deb
      Size/MD5 checksum: 87028 3c295aefd208e38f523d9719322f3bb4

FreeBSD : patches.
Des patchs sont disponibles :
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:11/gzip.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:11/gzip.patch.asc

Mandrake : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 747eb53b876e9dd0544d58d8cafd436d 10.0/RPMS/gzip-1.2.4a-13.2.100mdk.i586.rpm
 6b8b1c839de2659bdbf3ef7b2d084c49 10.0/SRPMS/gzip-1.2.4a-13.2.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 55b145f3a6211d3214e4ac84a9f3d2db amd64/10.0/RPMS/gzip-1.2.4a-13.2.100mdk.amd64.rpm
 6b8b1c839de2659bdbf3ef7b2d084c49 amd64/10.0/SRPMS/gzip-1.2.4a-13.2.100mdk.src.rpm
 Mandrakelinux 10.1:
 f52a97a5a011807be418d9813e8be8a7 10.1/RPMS/gzip-1.2.4a-13.2.101mdk.i586.rpm
 50b48751f7f56fafc86ae58c39473b19 10.1/SRPMS/gzip-1.2.4a-13.2.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 6f68527ab34b108cd142f7612f01624b x86_64/10.1/RPMS/gzip-1.2.4a-13.2.101mdk.x86_64.rpm
 50b48751f7f56fafc86ae58c39473b19 x86_64/10.1/SRPMS/gzip-1.2.4a-13.2.101mdk.src.rpm
 Mandrakelinux 10.2:
 2e4b095f517150b0c3fd8f06e8b02b54 10.2/RPMS/gzip-1.2.4a-14.1.102mdk.i586.rpm
 d9a2c5788a582dc194e4726b68708e75 10.2/SRPMS/gzip-1.2.4a-14.1.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 819a41d23efc8ad2c26cd9786178a52c x86_64/10.2/RPMS/gzip-1.2.4a-14.1.102mdk.x86_64.rpm
 d9a2c5788a582dc194e4726b68708e75 x86_64/10.2/SRPMS/gzip-1.2.4a-14.1.102mdk.src.rpm

Red Hat Linux, Fedora Core 1 et 2 : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
Red Hat Linux 7.3:
SRPM:
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/gzip-1.3.3-1.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/7.3/updates/i386/gzip-1.3.3-1.2.legacy.i386.rpm
Red Hat Linux 9:
SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/gzip-1.3.3-9.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/gzip-1.3.3-9.2.legacy.i386.rpm
Fedora Core 1:
SRPM:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/gzip-1.3.3-11.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/1/updates/i386/gzip-1.3.3-11.2.legacy.i386.rpm
Fedora Core 2:
SRPM:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/gzip-1.3.3-12.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/2/updates/i386/gzip-1.3.3-12.2.legacy.i386.rpm

SGI ProPack : patch.
Le patch 10179 est disponible :
  http://support.sgi.com/
  ftp://patches.sgi.com/support/free/security/patches/ProPack/3/
 
 Des RPMs individuels sont aussi proposés :
   ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
   ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

Solaris : patch et contre-mesure pour gzip.
L'annonce de Sun détaille la solution.

Turbolinux : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance Server 1.0 : gzip-1.3.3-7
Turbolinux 10 : gzip-1.3.3-7
Turbolinux 8 : gzip-1.3.3-7
Turbolinux 7 : gzip-1.3.3-7
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de sécurité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.