S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 octobre 2003
N° CERTA-2003-AVI-163
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de dtprintinfo sous HP-UX

Gestion du document

Référence CERTA-2003-AVI-163
Titre Vulnérabilité de dtprintinfo sous HP-UX
Date de la première version13 octobre 2003
Date de la dernière version13 octobre 2003
Source(s) Bulletin de sécurité HPSBUX0310-289 de Hewlett-Packard
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

HP-UX versions B.11.00, B.11.11 et B.11.22.

Description

La commande dtprintinfo permet de visualiser les files d'impression.

Une vulnérabilité de type débordement de mémoire présente dans une routine manipulant la variable d'environnement DISPLAY peut être exploitée par un utilisateur mal intentionné afin d'obtenir les privilèges du super-utilisateur root.

Cette vulnérabilité n'est exploitable qu'en local.

Contournement provisoire

Dans l'attente de l'application du correctif, retirer le drapeau "setuid" de l'exécutable /usr/dt/bi/dtprintinfo.

Solution

Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention du correctif.

Documentation

  • Bulletin de sécurité HPSBUX0310-289 "Potential Security Vulnerability in dtprintfo" de Hewlett-Packard :
    • http://itrc.hp.com

Gestion détaillée du document

    le 13 octobre 2003
    version initiale.