Date de Publication: 2003-03-28
 Bugtraq ID: 7121
 CVE : CAN-2003-0165
 Titre: GNOME's Eye Of Gnome - Manipulation incorrecte de nom de fichier
 Class: Input validation error
 Exploitable à distance : Non
 Exploitable en local : Oui

 
  * Description de la vulnérabilité *

 The Eye of Gnome (EOG) est un programme de visualisation d'images, il fait partie du bureau GNOME, il est distribué dans la plupart des distributions Linux.

 Une vulnérabilité a été trouvée dans cette application, cette faille pourrait permettre l'exécution de code arbitraire avec les droits utilisateur (qui est sous GNOME).


  * Description Technique - Exploit *

 En fournissant un nom de fichier particulier un attaquant peut forcer l'EOG pour exécuter des commandes arbitraires avec les privilèges de l'utilisateur courant.

 La ligne suivante démontre le problème et crash l'EOG

 $ /usr/bin/eog this_is_an_invalid_file_%n%n


  * Versions Vulnérables *
 
 La version 2.2.0 et les versions précédentes sont vulnérables.
 

  * Solution *
 
 Utiliser les mises à jour.
 
  * Crédits *
 
 Cette faille a été découverte par Diego Kelyacoubian, Javier Kohen, Alberto Solino et Juan Vera , l'équipe de  "Core Security Technologies" (Mars 2003).