Vigil@nce - Perl Data-UUID : corruption de fichier via UUID_STATE
août 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut créer un lien symbolique lors de
l’utilisation du module Perl Data::UID, afin de corrompre un
fichier avec les privilèges de la victime.
Produits concernés : Unix (plateforme)
Gravité : 1/4
Date création : 31/07/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le module Perl Data::UUID génère des identifiants uniques.
Il utilise deux fichiers temporaires : /tmp/.UUID_STATE et
/tmp/.UUID_NODEID. Cependant, il accepte de suivre les liens
symboliques partant de ces fichiers.
Un attaquant local peut donc créer un lien symbolique lors de
l’utilisation du module Perl Data::UID, afin de corrompre un
fichier avec les privilèges de la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Perl-Data-UUID-corruption-de-fichier-via-UUID-STATE-13184