S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 mai 2003
N° CERTA-2003-AVI-090-001
Affaire suivie par: CERT-FR
le 23 mai 2003

Avis du CERT-FR

Objet: Multiples vulnérabilités sous HP-UX

Gestion du document

Référence CERTA-2003-AVI-090-001
Titre Multiples vulnérabilités sous HP-UX
Date de la première version 23 mai 2003
Date de la dernière version 30 mai 2003
Source(s) Bulletins de sécurité de Hewlett-Packard
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

  • HP-UX version 10.20, 11.0 pour "rexec" ;
  • HP-UX version 10.20, 11.0, 11.04 et 11.11 pour "wall" ;
  • HP-UX version 10.20, 11.0 pour "kermit" ;
  • HP-UX version 10.20 pour "ipcs".

Description

Trois bulletins de sécurité concernant des vulnérabilités de type débordement de mémoire présentes dans des commandes sous HP-UX ont été émis.

L'exploitation de ces vulnérabilités permet à un utilisateur mal intentionné de réaliser une élévation de privilèges.


Les commandes vulnérables sont les suivantes :

  • "rexec" : permet l'exécution de commandes sur un système distant ;
  • "wall" : permet d'envoyer un message à tous les utilisateurs d'un système ;
  • "kermit" : permet à deux systèmes distants d'échanger des données ;
  • "ipcs" : permet de visualiser l'état des canaux de communication (sémaphores, mémoires partagées, etc.) sur un système.

Solution

Pour l'obtention des correctifs, consulter les bulletins de sécurité de l'éditeur :

http://itrc.hp.com

Documentation

  • HPSBUX0304-257 (rexec);
  • HPSBUX0305-258 (wall);
  • HPSBUX0305-259 (kermit);
  • HPSBUX0305-260 (ipcs).

Gestion détaillée du document

    le 23 mai 2003
    version initiale.
    le 30 mai 2003
    Ajout référence à la vulnérabilité "rexec".