CERTA-2001-AVI-101
Vulnerability from certfr_avis
Une vulnérabilité dans le script serial du paquetage setserial peut permettre à un utilisateur mal intentionné de corrompre n'importe quel fichier du système.
Description
Le paquetage setserial est utilisé pour visualiser ou modifier le paramétrage des ports série.
4.0.0.1
Le script serial fournit avec le paquetage setserial utilise des fichiers temporaires dont le nom peut être connu à l'avance. Un utilisateur mal intentionné peut utiliser cette faille du script pour corrompre n'importe quel fichier du système.
La vulnérabilité n'est toutefois exploitable que si le noyau est configuré pour supporter les ports série sous forme de modules.
Solution
Ne pas utiliser le script serial fournit avec le paquetage setserial.
Une autre solution consiste à utiliser un noyau ne supportant pas les ports série sous forme de modules.
Paquetage setserial-2.17-4 et les versions antérieures.
Ce paquetage est présent dans les distributions RedHat et Mandrake.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003ePaquetage setserial-2.17-4 et les versions ant\u00e9rieures. \u003cP\u003eCe paquetage est pr\u00e9sent dans les distributions RedHat et Mandrake.\u003c/P\u003e\u003c/p\u003e",
"content": "## Description\n\nLe paquetage setserial est utilis\u00e9 pour visualiser ou modifier le\nparam\u00e9trage des ports s\u00e9rie.\n\n#### 4.0.0.1\n\nLe script serial fournit avec le paquetage setserial utilise des\nfichiers temporaires dont le nom peut \u00eatre connu \u00e0 l\u0027avance. Un\nutilisateur mal intentionn\u00e9 peut utiliser cette faille du script pour\ncorrompre n\u0027importe quel fichier du syst\u00e8me.\n\nLa vuln\u00e9rabilit\u00e9 n\u0027est toutefois exploitable que si le noyau est\nconfigur\u00e9 pour supporter les ports s\u00e9rie sous forme de modules.\n\n## Solution\n\nNe pas utiliser le script serial fournit avec le paquetage setserial.\n\nUne autre solution consiste \u00e0 utiliser un noyau ne supportant pas les\nports s\u00e9rie sous forme de modules.\n",
"cves": [],
"initial_release_date": "2001-09-27T00:00:00",
"last_revision_date": "2001-09-27T00:00:00",
"links": [],
"reference": "CERTA-2001-AVI-101",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-09-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service"
},
{
"description": "Corruption de fichiers"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le script serial du paquetage setserial peut\npermettre \u00e0 un utilisateur mal intentionn\u00e9 de corrompre n\u0027importe quel\nfichier du syst\u00e8me.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans le paquetage setserial",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 RedHat RHSA-2001:11-05",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.