Bulletin d'alerte Debian

xfs -- Lien symbolique utilisable pour changer les permissions de fichier

Date du rapport :
31 mars 1999
Paquets concernés :
xfs
Vulnérabilité :
Non
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 359.
Dans le dictionnaire CVE du Mitre : CVE-1999-0434.
Plus de précisions :
Certaines implémentations de xfs mettent de mauvaises permissions à /tmp/.font-unix même si ce fichier est un lien symbolique vers un autre fichier. Debian 2.1 (Slink) n'est pas vulnérable.

Ce bulletin d'alerte d'ISS Security - Les alertes de X-Force - la page xfree86-xfs-symlink-dos fournit un bon résumé pour cette faille.

Cette faille peut être utilisée pour modifier les permissions du fichier /etc/shadow, comme le montre les archives de Neohapsis (Système de suivi des bogues) 1999 « bugs in xfs ». Les archives du système de suivi des bogues d'InDenial - Mars 1999 « bugs in xfs » montre la discussion.