{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes IRIX ayant l'outil InPerson install\u00e9.</P>","content":"## Description\n\nInPerson est un logiciel de visioconf\u00e9rence propos\u00e9 par d\u00e9faut lors de\nl'installation du syst\u00e8me IRIX sur une station ou un serveur Silicon\nGraphix.\n\nUn mauvais param\u00e9trage par d\u00e9faut des permissions de la commande inpview\npermet \u00e0 un utilisateur mal intentionn\u00e9 d'ex\u00e9cuter un shell avec les\nprivil\u00e8ges de root et, par cons\u00e9quent, de prendre possession de la\nmachine.\n\n## Solution\n\nOn peut savoir si InPerson (toutes les versions de InPerson sont\nvuln\u00e9rables) est install\u00e9 en demandant au syst\u00e8me sa version de la fa\u00e7on\nsuivante :\n\nEn tant que root, taper la commande suivante :\n\nversions -b InPerson\n\nLe num\u00e9ro de la version appara\u00eet \u00e0 la fin de la description affich\u00e9e.\n\nSi le logiciel InPerson est install\u00e9, et si vous ne l'utilisez pas, il\nfaut le supprimer \u00e0 l'aide de la commande suivante :\n\nversions remove InPerson\n\nSi vous utilisez InPerson sur cette station, il faut supprimer le bit\nSUID de la commande inpview en ex\u00e9cutant la commande suivante :\n\nchmod u-s /usr/lib/InPerson/inpview\n\nVous pouvez en plus restreindre l'acc\u00e8s au logiciel \u00e0 un seul groupe\nd'utilisateurs qui a acc\u00e8s localement \u00e0 la station pour utiliser le\nlogiciel, et que vous aurez cr\u00e9\u00e9 sur la machine, gr\u00e2ce \u00e0 la commande\nchgroup.\n","cves":[],"links":[],"reference":"CERTA-2000-AVI-075","revisions":[{"description":"version initiale.","revision_date":"2000-11-22T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s root en local"}],"summary":"Un utilisateur mal intentionn\u00e9 peut, en utilisant une vuln\u00e9rabilit\u00e9 de\nInPerson, obtenir les privil\u00e8ges root.\n\nL'exploitation de cette vuln\u00e9rabilit\u00e9 a largement \u00e9t\u00e9 diffus\u00e9e sur\ninternet.\n","title":"Vuln\u00e9rabilit\u00e9 du logiciel InPerson sous IRIX","vendor_advisories":[{"published_at":null,"title":"FAQ de SGI IRIX","url":null},{"published_at":null,"title":"BugTraq","url":null}]}