Risque
- Élévation de privilèges
Systèmes affectés
Solaris 2.5.1, 2.6, 7 et 8 (architectures SPARC et Intel).
La version 9 de Solaris n'est pas vulnérable.
Résumé
La commande pkgadd
peut installer des fichiers avec les permissions
set-uid
ou set-gid
.
Description
La commande pkgadd
est utilisée pour installer de nouveaux paquetages
sur le système.
Il est possible que cette commande installe les fichiers avec les
permissions set-uid
et/ou set-gid
. De plus, la commande pkgadd
ne
demande aucune confirmation et n'avertit pas l'utilisateur que des
fichiers sont installés avec les privilèges set-uid
ou set-gid
.
Contournement provisoire
Retirez les privilèges set-uid
ou set-gid
lorsque ceux-ci ne sont
pas nécessaires.
Solution
Appliquer le correctif selon la version de Solaris.
Se référer au bulletin 45693 de Sun (cf. section Documentation) pour connaître la version du correctif à appliquer.
Documentation
- Avis 45693 de Sun http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F45693