S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 août 2000
N° CERTA-2000-AVI-031
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Faille dans la commande newgrp sous HP-UX

Gestion du document

Référence CERTA-2000-AVI-031
Titre Faille dans la commande newgrp sous HP-UX
Date de la première version 17 août 2000
Date de la dernière version 17 août 2000
Source(s) Avis CERT-IST
Avis de sécurité HPSBUX0008-118 du 9/08/2000
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Attibution à un utilisateur local de privilèges supplémentaires

Systèmes affectés

Système d'exploitation HP-UX 11.0 sur stations HP 9000 séries 700/800.

Résumé

Un précedant correctif fourni par HP (patch PHCO_22021) a introduit une vulnérabilité dans la commande newgrp. Cette commande permet à un utilisateur de changer son groupe courant pour peu qu'il en fasse partie.

Solution

  • désinstaller le correctif initial PHCO_22021,
  • installer le nouveau correctif PHCO_22096.

Les correctifs sont disponibles sur le site

http://europe-support.external.hp.com

en activant le lien ``Search Technical Knowledge Base'' et ens'identifiant (inscription gratuite).

Documentation

Gestion détaillée du document

    le 17 août 2000
    version initiale.