S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 juillet 2002
N° CERTA-2002-AVI-152
Affaire suivie par: CERT-FR
le 19 juillet 2002

Avis du CERT-FR

Objet: Vulnérabilités sur HP Compaq Tru64 Unix

Gestion du document

Référence CERTA-2002-AVI-152
Titre Vulnérabilités sur HP Compaq Tru64 Unix
Date de la première version 19 juillet 2002
Date de la dernière version 19 juillet 2002
Source(s) Avis de sécurité SSRT0794U et SSRT0795U de HP
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • élévation de privilèges ;
  • exécution de code arbitraire.

Systèmes affectés

  • HP Compaq Tru64 Unix version 5.1a ;
  • HP Compaq Tru64 Unix version 5.1 ;
  • HP Compaq Tru64 Unix version 5.0a ;
  • HP Compaq Tru64 Unix version 4.0g ;
  • HP Compaq Tru64 Unix version 4.0f.

Résumé

Deux vulnérabilités présentes sur HP Compaq Tru64 Unix permettent à un utilisateur mal intentionné de réaliser un déni de service des processus créés par le daemon inetd ou d'exécuter du code arbitraire sur la machine avec une élévation des privilèges.

Description

Un utilisateur mal intentionné peut, par l'envoi massif de paquets spécifiques, réaliser un déni de service des processus créés par le daemon inetd sur les systèmes HP Compaq Tru64 Unix versions 5 énumérés ci-dessus.

La seconde vulnérabilité concerne la commande ipcs (Inter-Process Communication Status) utilisée pour visualiser les ressources partagées sur les sytèmes Unix. Un utilisateur local mal intentionné peut, en utilisant un débordement de mémoire présent sur cette commande, élever ses privilèges et exécuter du code arbitraire.

Solution

Appliquer les correctifs disponibles correpondant à la version de votre système (cf avis de sécurité HP Compaq, section documentation).

Documentation

Gestion détaillée du document

    le 19 juillet 2002
    version initiale.