Informations de sécurité / 1999 / Informations sur la sécurité -- xfs

Bulletin d'alerte Debian

xfs -- Lien symbolique utilisable pour changer les permissions de fichier

Date du rapport :

31 mars 1999

Paquets concernés :

xfs

Vulnérabilité :

Non

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 359.
Dans le dictionnaire CVE du Mitre : CVE-1999-0434.

Plus de précisions :

Certaines implémentations de xfs mettent de mauvaises permissions à /tmp/.font-unix même si ce fichier est un lien symbolique vers un autre fichier. Debian 2.1 (Slink) n'est pas vulnérable.

Ce bulletin d'alerte d'ISS Security - Les alertes de X-Force - la page xfree86-xfs-symlink-dos fournit un bon résumé pour cette faille.

Cette faille peut être utilisée pour modifier les permissions du fichier /etc/shadow, comme le montre les archives de Neohapsis (Système de suivi des bogues) 1999 « bugs in xfs ». Les archives du système de suivi des bogues d'InDenial - Mars 1999 « bugs in xfs » montre la discussion.