CERTA-2001-AVI-101
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité dans le script serial du paquetage setserial peut permettre à un utilisateur mal intentionné de corrompre n'importe quel fichier du système.
Description
Le paquetage setserial est utilisé pour visualiser ou modifier le paramétrage des ports série.
4.0.0.1
Le script serial fournit avec le paquetage setserial utilise des fichiers temporaires dont le nom peut être connu à l'avance. Un utilisateur mal intentionné peut utiliser cette faille du script pour corrompre n'importe quel fichier du système.
La vulnérabilité n'est toutefois exploitable que si le noyau est configuré pour supporter les ports série sous forme de modules.
Solution
Ne pas utiliser le script serial fournit avec le paquetage setserial.
Une autre solution consiste à utiliser un noyau ne supportant pas les ports série sous forme de modules.
Paquetage setserial-2.17-4 et les versions antérieures.
Ce paquetage est présent dans les distributions RedHat et Mandrake.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003ePaquetage setserial-2.17-4 et les versions ant\u00e9rieures. \u003cP\u003eCe paquetage est pr\u00e9sent dans les distributions RedHat et Mandrake.\u003c/P\u003e\u003c/p\u003e",
"content": "## Description\n\nLe paquetage setserial est utilis\u00e9 pour visualiser ou modifier le\nparam\u00e9trage des ports s\u00e9rie.\n\n#### 4.0.0.1\n\nLe script serial fournit avec le paquetage setserial utilise des\nfichiers temporaires dont le nom peut \u00eatre connu \u00e0 l\u0027avance. Un\nutilisateur mal intentionn\u00e9 peut utiliser cette faille du script pour\ncorrompre n\u0027importe quel fichier du syst\u00e8me.\n\nLa vuln\u00e9rabilit\u00e9 n\u0027est toutefois exploitable que si le noyau est\nconfigur\u00e9 pour supporter les ports s\u00e9rie sous forme de modules.\n\n## Solution\n\nNe pas utiliser le script serial fournit avec le paquetage setserial.\n\nUne autre solution consiste \u00e0 utiliser un noyau ne supportant pas les\nports s\u00e9rie sous forme de modules.\n",
"cves": [],
"links": [],
"reference": "CERTA-2001-AVI-101",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-09-27T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service"
},
{
"description": "Corruption de fichiers"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans le script serial du paquetage setserial peut\npermettre \u00e0 un utilisateur mal intentionn\u00e9 de corrompre n\u0027importe quel\nfichier du syst\u00e8me.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans le paquetage setserial",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 RedHat RHSA-2001:11-05",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.