[RFR] wml://security/2017/dsa-3873.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction.
Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="1.1" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>L'équipe cPanel Security Team a signalé un défaut de situation de
compétition de type <q>time of check to time of use</q> (TOCTTOU) dans
File::Path, un module essentiel de Perl pour la création ou la suppression
d'arborescences de répertoire. Un attaquant peut tirer avantage de ce défaut
pour régler les droits d'un fichier choisi par l'attaquant à une valeur
choisie par l'attaquant.</p>

<p>Pour la distribution stable (Jessie), ce problème a été corrigé dans la
version 5.20.2-3+deb8u7.</p>

<p>Pour la prochaine distribution stable (Stretch), ce problème a été
corrigé dans la version 5.24.1-3.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la
version 5.24.1-3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets perl.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2017/dsa-3873.data"
# $Id: dsa-3873.wml,v 1.1 2017/06/06 20:01:14 jipege1-guest Exp $


In software development, time of check to time of use (TOCTTOU or TOCTOU, pronounced "TOCK too") is a class of software bug caused by changes in a system between the checking of a condition (such as a security credential) and the use of the results of that check. This is one example of a race condition.

A simple example is as follows: Consider a Web application that allows a user to edit pages, and also allows administrators to lock pages to prevent editing. A user requests to edit a page, getting a form which can be used to alter its content. Before the user submits the form, an administrator locks the page, which should prevent editing. However, since editing has already begun, when the user submits the form, those edits (which have already been made) are accepted. When the user began editing, the appropriate authorization was checked, and the user was indeed allowed to edit. However, the authorization was used later, at a time when edits should no longer have been allowed.

TOCTTOU race conditions are most common in Unix between operations on the file system, but can occur in other contexts, including local sockets and improper use of database transactions. In the early 1990s, the mail utility of BSD 4.3 UNIX had an exploitable race condition for temporary files because it used the mktemp() C library function.[1] Early versions of OpenSSH had an exploitable race condition for Unix domain sockets.[2]

Exploitation
Principe de base

Ceci est un exemple classique de Race Condition. Dans ce cas on parle d'un TOCTTOU (Time Of Check To Time Of Use), c'est à dire d'une race condition dérivant d'un décalage entre le moment où l'on effectue la vérification et le moment où l'on exécute une action normalement protégée par cette vérification.

En pratique ça ressemble à ça: