S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 mai 2003
N° CERTA-2003-AVI-090
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités sous HP-UX

Gestion du document

Référence CERTA-2003-AVI-090
Titre Multiples vulnérabilités sous HP-UX
Date de la première version23 mai 2003
Date de la dernière version30 mai 2003
Source(s) Bulletins de sécurité de Hewlett-Packard
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • HP-UX version 10.20 pour "ipcs".
  • HP-UX version 10.20, 11.0 pour "kermit" ;
  • HP-UX version 10.20, 11.0 pour "rexec" ;
  • HP-UX version 10.20, 11.0, 11.04 et 11.11 pour "wall" ;

Description

Trois bulletins de sécurité concernant des vulnérabilités de type débordement de mémoire présentes dans des commandes sous HP-UX ont été émis.

L'exploitation de ces vulnérabilités permet à un utilisateur mal intentionné de réaliser une élévation de privilèges.

Les commandes vulnérables sont les suivantes :

  • "rexec" : permet l'exécution de commandes sur un système distant ;
  • "wall" : permet d'envoyer un message à tous les utilisateurs d'un système ;
  • "kermit" : permet à deux systèmes distants d'échanger des données ;
  • "ipcs" : permet de visualiser l'état des canaux de communication (sémaphores, mémoires partagées, etc.) sur un système.

Solution

Pour l'obtention des correctifs, consulter les bulletins de sécurité de l'éditeur :

http://itrc.hp.com

Gestion détaillée du document

    le 23 mai 2003
    version initiale.
    le 30 mai 2003
    Ajout référence à la vulnérabilité "<TT>rexec</TT>".