S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 avril 2002
N° CERTA-2002-AVI-067
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Dénis de service sous IRIX/SGI

Gestion du document

Référence CERTA-2002-AVI-067
Titre Dénis de service sous IRIX/SGI
Date de la première version02 avril 2002
Date de la dernière version02 avril 2002
Source(s) Avis 20020306-01-P de SGI
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

IRIX 6.5 à 6.5.15.

Les versions antérieures, non maintenues, n'ont pas été testées.

Résumé

Deux vulnérabilités présentes sous IRIX (SGI) permettent à un utilisateur mal intentionné de réaliser un déni de service en local ou à distance.

Description

Des requêtes RPC soigneusement constituées (longueur invalide) peuvent entrainer l'émission d'un message "Bus error" puis l'arrêt des services portmap et rpcbind. Cette vulnérabilité est exploitable à distance.

Un utilisateur local mal intentionné peut également positionner la variable d'environnement HOSTALIASES d'une certaine façon afin de provoquer l'arrêt d'applications réseau utilisant le mécanisme de résolution de noms.

Solution

La version de IRIX 6.5.16 corrige ces deux vulnérabilités.

Des correctifs sont également disponibles sur le site du constructeur (se référer à la section Documentation).

Documentation

Gestion détaillée du document

    le 02 avril 2002
    version initiale.