S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 septembre 2007
N° CERTA-2007-AVI-392
Affaire suivie par: CERT-FR
le 06 septembre 2007

Avis du CERT-FR

Objet: Vulnérabilités dans IBM AIX

Gestion du document

Référence CERTA-2007-AVI-392
Titre Vulnérabilités dans IBM AIX
Date de la première version 06 septembre 2007
Date de la dernière version 06 septembre 2007
Source(s) Bulletins de sécurité de IBM AIX
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • atteinte à l'intégrité des données ;
  • élévation de privilèges.

Systèmes affectés

  • IBM AIX 5.2 ;
  • IBM AIX 5.3.

Résumé

De multiples vulnérabilités dans IBM AIX permettent à une personne malintentionnée d'effectuer un déni de service, d'élever ses privilèges et de porter atteinte à l'intégrité des données.

Description

De multiples vulnérabilités ont été identifiées dans IBM AIX :

  • des débordements de mémoire présents dans certaines commandes ont des impacts inconnus ;
  • une erreur inconnue au niveau de la commande invscout cause la suppression de certains fichiers ;
  • une erreur de vérification de privilèges dans l'extension perfstat du noyau peut être exploitée pour changer des paramètres du noyau, ce qui peut causer l'arrêt inopiné du système.

Contournement Provisoire

Des correctifs temporaires ont été mis à disposition par IBM pour certaines des vulnérabilités (IY98506, IZ02717, IZ02718, IY98819, IY98804, IZ00997). Ces correctifs peuvent avoir certains effets de bord, il est recommandé de les tester avant un déploiement sur des systèmes en production.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 septembre 2007
    version initiale.