1. Bulletin de Sécurité Gentoo

2. Versions affectées

3. Synopsis

NetHack, Slash'EM et Falcon's Eye contiennent une faille permettant une augmentation de privilèges locale pouvant permettre l'exécution d'une portion de code arbitraire avec les droits d'un autre utilisateur.

NetHack est un jeu solo d'exploration de donjons. Slash'EM et Falcon's Eye sont des variantes de NetHack.

5. Description

NetHack, Slash'EM et Falcon's Eye sont incompatibles avec le système utilisé pour gérer les jeux sous Gentoo Linux. Ils n'est pas possible d'y jouer de façon sécurisée sur un environnement multi-users.

6. Impact de la faille

Un utilisateur local, membre du groupe "games" a la possibilité d'altérer certaines données utilisées par Nethack, Slash'EM ou Falcon's Eye. De cette façon, il est possible de faire exécuter par d'autres joueurs de la même machine une portion de code arbitraire. De plus, ces jeux créent leurs fichiers de sauvegarde d'une façon pouvant permettre à un utilisateur local de créer ou d'écraser des fichiers avec les permissions d'autres joueurs.

7. Solution de contournement

Ne pas ajouter des joueurs n'étant pas de confiance dans le groupe "games".

8. Correction de la faille

Il est recommande aux utilisateurs de Nethack de supprimer ce package dans l'attente de la résolution du problème.

# emerge --ask --verbose --unmerge "games-roguelike/nethack"

Il est recommande aux utilisateurs de Slash'EM de supprimer ce package dans l'attente de la résolution du problème.

# emerge --ask --verbose --unmerge "games-roguelike/slashem"

Il est recommande aux utilisateurs de Falcon's Eye de supprimer ce package dans l'attente de la résolution du problème.

# emerge --ask --verbose --unmerge "games-roguelike/falconseye"

9. Références

• CVE-2006-1390