Vulnérabilités sur HP-UX

Gestion du document

Référence	CERTA-2003-AVI-196
Titre	Vulnérabilités sur HP-UX
Date de la première version	14 novembre 2003
Date de la dernière version	14 novembre 2003
Source(s)	Avis de sécurité SA2003-07 de NSFOCUS Avis de sécurité SA2003-08 de NSFOCUS
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Elévation de privilèges.

Systèmes affectés

HP-UX B.11.00;
HP-UX B.11.11.

La seconde vulnérabilité est également présente sur les systèmes suivants :

HP-UX B.10.20;
HP-UX B.11.22.

Résumé

Deux vulnérabilités présentes sur HP-UX permettent à un utilisateur mal intentionné ayant déjà un compte sur le système d'éxécuter du code arbitraire avec les privilèges du super utilisateur (root).

Description

Un débordement de mémoire dans les programmes setuid root (swinstall, swmodify) du logiciel Software Distributor permet à un utilisateur mal intentionné du système d'exécuter du code arbitraire avec les privilèges du super utilisateur root.

Une vulnérabilité de type chaîne de format présente lors du traitement de la variable NLSPATH par des programmes setuid root permet à un utilisateur du système d'exécuter du code arbitraire avec les privilèges du super utilisateur root.

Solution

Appliquer les correctif disponibles sur le site HP (cf section documentation).

Documentation

Pour la première vulnérabilité :

Avis de sécurité SA2003-07 de NSFOCUS :

http://www.nsfocus.com/english/homepage/research/0307.htm

Avis de sécurité HP-UX :

http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0311-293

Réference CVE de la première vulnérabilité : CAN-2003-0089
```
https://www.cve.org/CVERecord?id=CAN-2003-0089
```

Pour la seconde vulnérabilité :

Avis de sécurité SA2003-08 de NSFOCUS :

http://www.nsfocus.com/english/homepage/research/0308.htm