CERTA-2004-AVI-124
Vulnerability from certfr_avis

Une faille dans Portage peut être utilisée localement pour écraser tout fichier, en particulier de configuration.

Description

Portage est l'outil de gestion des paquetages logiciels de la distribution Gentoo Linux. Une faille dans la gestion d'un fichier temporaire peut être exploitée pour écraser des fichiers système sensibles en créant un lien (non symbolique). Les systèmes avec une partition dédiée à /tmp ne sont donc pas affectés.

Solution

Mettre à jour en se référant à l'avis de sécurité Gentoo.

Toute distribution Gentoo (quelle que soit l'architecture) utilisant Portage dans une version antérieure à la 2.0.50-r3.

Impacted products
Vendor Product Description
References
Avis de sécurité Gentoo None vendor-advisory

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToute distribution \u003cSPAN class=\n  \"textit\"\u003eGentoo\u003c/SPAN\u003e (quelle que soit l\u0027architecture) utilisant  \u003cSPAN class=\"textit\"\u003ePortage\u003c/SPAN\u003e dans une version ant\u00e9rieure \u00e0  la 2.0.50-r3.\u003c/p\u003e",
  "content": "## Description\n\nPortage est l\u0027outil de gestion des paquetages logiciels de la\ndistribution Gentoo Linux. Une faille dans la gestion d\u0027un fichier\ntemporaire peut \u00eatre exploit\u00e9e pour \u00e9craser des fichiers syst\u00e8me\nsensibles en cr\u00e9ant un lien (non symbolique). Les syst\u00e8mes avec une\npartition d\u00e9di\u00e9e \u00e0 /tmp ne sont donc pas affect\u00e9s.\n\n## Solution\n\nMettre \u00e0 jour en se r\u00e9f\u00e9rant \u00e0 l\u0027avis de s\u00e9curit\u00e9 Gentoo.\n",
  "cves": [],
  "initial_release_date": "2004-04-08T00:00:00",
  "last_revision_date": "2004-04-08T00:00:00",
  "links": [],
  "reference": "CERTA-2004-AVI-124",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-04-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service en local"
    },
    {
      "description": "Alt\u00e9ration de la configuration par un utilisateur local"
    }
  ],
  "summary": "Une faille dans \u003cspan class=\"textit\"\u003ePortage\u003c/span\u003e peut \u00eatre utilis\u00e9e\nlocalement pour \u00e9craser tout fichier, en particulier de configuration.\n",
  "title": "Faille de l\u0027outil Portage sous Gentoo Linux",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Gentoo",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200404-01.xml"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.