S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 juin 2003
N° CERTA-2003-AVI-099
Affaire suivie par: CERT-FR
le 23 juin 2003

Avis du CERT-FR

Objet: Multiples vulnérabilités sous Solaris

Gestion du document

Référence CERTA-2003-AVI-099
Titre Multiples vulnérabilités sous Solaris
Date de la première version 23 juin 2003
Date de la dernière version 23 juin 2003
Source(s) Bulletin de sécurité #55260 de Sun
Bulletin de sécurité #55420 de Sun
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Solaris versions 2.6 à 9.

Description

Sun a publié deux bulletins de sécurité concernant des vulnérabilités de type débordement de mémoire permettant à un utilisateur mal intentionné d'obtenir les privilèges du super utilisateur root.


Ces vulnérabilités sont présentes dans les composants suivants :

  • la commande /usr/lib/utmp_update ;
  • les fonctions dbm_open et dbminit présentes dans la bibliothèque libc et utilisées par l'exécutable Xsun.

L'exploitation de ces vulnérabilités n'est possible que pour un utilisateur local.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 juin 2003
    version initiale.