Risque
- Élévation de privilèges
Systèmes affectés
Solaris 2.5.1, 2.6, 7 et 8 (architectures SPARC et Intel).
La version 9 de Solaris n'est pas vulnérable.
Résumé
La commande pkgadd peut installer des fichiers avec les permissions
set-uid ou set-gid.
Description
La commande pkgadd est utilisée pour installer de nouveaux paquetages
sur le système.
Il est possible que cette commande installe les fichiers avec les
permissions set-uid et/ou set-gid. De plus, la commande pkgadd ne
demande aucune confirmation et n'avertit pas l'utilisateur que des
fichiers sont installés avec les privilèges set-uid ou set-gid.
Contournement provisoire
Retirez les privilèges set-uid ou set-gid lorsque ceux-ci ne sont
pas nécessaires.
Solution
Appliquer le correctif selon la version de Solaris.
Se référer au bulletin 45693 de Sun (cf. section Documentation) pour connaître la version du correctif à appliquer.
Documentation
- Avis 45693 de Sun http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F45693
