Risque
Augmentation des privilèges utilisateur
Systèmes affectés
- HP-UX 10.10 ;
- HP-UX 10.24 ;
- HP-UX 10.20 ;
- HP-UX 11.04 ;
- HP-UX 11.00.
Résumé
Un utilisateur mal intentionné peut, par le biais de dtterm, augmenter ses privilèges utilisateur.
Description
Dans l'environnement graphique CDE, La commande dtterm permet d'émuler un terminal sous unix.
Une vulnérabilité dans cet émulateur permet à un utilisateur d'accroître ses privilèges.
Solution
Appliquer les correctifs proposés sur le site HP :
http://europe-support.external.hp.com
- Correctif pour HP-UX 10.10 : Non disponible ;
- Correctif pour HP-UX 10.24 : PHSS_22546 ;
- Correctif pour HP-UX 10.20 : PHSS_22319 ;
- Correctif pour HP-UX 11.04 : PHSS_22548 ;
- Correctif pour HP-UX 11.00 : PHSS_22320.
Sous 10.20 après avoir installé le correctif PHSS_22319, modifier les permissions :
chmod 555 /usr/vue/bin/dtterm
Contournement provisoire
Sous 10.10, modifier les permissions pour supprimer la vulnérabilité :
chmod 555 /usr/dt/bin/dtterm
chmod 555 /usr/vue/bin/dtterm
Documentation
Bulletin de sécurité de HP :
http://itrc.hp.com