Vulnérabilités
Vulnérabilité TOCTOU
Aussi appelé: TOCTTOU, Vérification-et-usage
Définition
Condition de course entre vérification et utilisation, où l'état contrôlé par une décision de sécurité change avant que l'action correspondante ne soit effectuée.
Exemples
- Programme setuid vérifiant la propriété avec stat() puis ouvrant le chemin.
- Évasion de conteneur via TOCTOU sur des chemins de bind-mount.
Termes liés
Condition de course
Défaut où la sécurité ou la correction d'un système dépend du timing ou de l'ordre d'opérations concurrentes, permettant à un attaquant d'intercaler des actions et de contourner des contrôles.
Vulnérabilité
Faiblesse d'un système, d'une application ou d'un processus qu'un attaquant peut exploiter pour porter atteinte à la confidentialité, l'intégrité ou la disponibilité.
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
Secure Coding
Secure Coding — definition coming soon.
Directory Traversal
Directory Traversal — definition coming soon.
Corruption mémoire
Terme générique pour les vulnérabilités où un programme écrit hors des limites prévues, compromettant sûreté de typage, flux de contrôle ou intégrité des données.