Risque

Déni de service.

Systèmes affectés

IRIX 6.5 à 6.5.15.

Les versions antérieures, non maintenues, n'ont pas été testées.

Résumé

Deux vulnérabilités présentes sous IRIX (SGI) permettent à un utilisateur mal intentionné de réaliser un déni de service en local ou à distance.

Description

Des requêtes RPC soigneusement constituées (longueur invalide) peuvent entrainer l'émission d'un message "Bus error" puis l'arrêt des services portmap et rpcbind. Cette vulnérabilité est exploitable à distance.

Un utilisateur local mal intentionné peut également positionner la variable d'environnement HOSTALIASES d'une certaine façon afin de provoquer l'arrêt d'applications réseau utilisant le mécanisme de résolution de noms.

Solution

La version de IRIX 6.5.16 corrige ces deux vulnérabilités.

Des correctifs sont également disponibles sur le site du constructeur (se référer à la section Documentation).

Documentation

Avis de sécurité 20020306-01-P de SGI disponible à l'adresse suivante :

http://ftp.patches.sgi.com/support/free/security/advisories/20020306-01-P