Risque
- Divulgation de données
Systèmes affectés
Toutes les versions d'Irix, jusqu'a la 6.5.16 incluse, fournissant le service BDSPro 2.4 sont vulnérables.
Résumé
Sous certaines conditions, le service BDS fournit un accès en lecture à tous les fichiers présents sur le serveur.
Description
BDSPro est une extension de NFS qui permet d'accélérer considérablement les transferts de fichiers volumineux sur le réseau en exploitant les dernières technologies réseau et système de fichiers.
Une vulnérabilité de BDSPro permet à un utilisateur mal intentionné d'avoir un accès distant, en lecture seule, à tous les fichiers du système visé.
Pour savoir si BDSPro est installé sur votre système, exécutez la commande suivante :
versions bds.eoe.server
Le résultat indique la présence ou non de BDSPro sur votre système.
Contournement provisoire
Appliquez le correctif ou déinstallez BDSPro.
Solution
Appliquer le correctif #4713 disponible en téléchargement sur le site de SGI (Consultez la section Documentation).
Mettre à jour le service BDSPro vers la version 2.5 dès qu'elle sera disponible.
Documentation
- Information sur la sécurité des produits SGI : Bulletin de sécurité #20020804-01-P de SGI : ftp://patches.sgi.com/support/free/security/advisories/20020804-01-P http://www.sgi.com/support/security/