S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 septembre 2001
N° CERTA-2001-AVI-091
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de rlpdaemon sous HP-UX

Gestion du document

Référence CERTA-2001-AVI-091
Titre Vulnérabilité de rlpdaemon sous HP-UX
Date de la première version05 septembre 2001
Date de la dernière version05 septembre 2001
Source(s) Bulletin de sécurité HP HPSBUX0108-163
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

HP-UX 10.01, 10.10, 10.20, 11.11, 11.20.

Résumé

Une vulnérabilité du daemon rlpdaemon sous HP-UX permet à un utilisateur mal intentionné d'exécuter du code arbitraire avec les privilèges du compte associé à ce daemon.

Description

rlpdaemon est un service d'impression sous HP-UX adapté des sources BSD.

Une vulnérabilité de ce daemon permet à un utilisateur local ou distant d'effectuer un débordement de mémoire pouvant conduire à un arrêt du service ou bien à l'exécution de code arbitraire sur le serveur victime avec les privilèges de ce daemon.

Par défaut rlpdaemon est installé et actif lors de l'installation du système.

Contournement provisoire

Désactiver ou supprimer rlpdaemon s'il n'est pas utilisé sur cette machine.

Solution

Appliquer le correctif selon la version sur le site suivant :

http://itrc.hp.com

.

  • Pour HP-UX 10.01 : PHCO_24697
  • Pour HP-UX 10.10 : PHCO_24698
  • Pour HP-UX 10.20 : PHCO_24699
  • Pour HP-UX 11.00 : PHCO_24700
  • Pour HP-UX 11.11 : PHCO_24701

Documentation

Gestion détaillée du document

    le 05 septembre 2001
    version initiale.