1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-13 / fbida |
| Date de Parution | 23 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Locale |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-gfx/fbida | < 2.03-r3 | >= 2.03-r3 | Toutes |
3. Synopsis
fbida est vulnérable à une attaque par lien symbolique permettant à un utilisateur local d'écraser des fichiers arbitraires sur le système.
4. Informations
fbida est une collection de visualisateurs d'images et d'éditeurs fonctionnant dans le framebuffer et X11.
5. Description
Jan Braun a découvert que le script "fbgs" fourni avec fbida crée ses fichiers de façon non sécurisée dans le répertoire "/var/tmp".
6. Impact de la faille
Un attaquant local peut créer un certain nombre de liens symboliques dans "/var/tmp" pointant vers certains fichiers sur le système de fichiers. Ces derniers peuvent alors être écrasés lors du lancement du script "fbgs" avec les privilèges de la personne utilisant ce script.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommande aux utilisateurs de fbida de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-gfx/fbida-2.03-r3"
9. Références