S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 janvier 2004
N° CERTA-2004-AVI-013
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de la commande diag sous AIX

Gestion du document

Référence CERTA-2004-AVI-013
Titre Vulnérabilité de la commande diag sous AIX
Date de la première version20 janvier 2004
Date de la dernière version20 janvier 2004
Source(s) Avis de sécurité IBM
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges pour un utilisateur local

Systèmes affectés

IBM AIX 4.3, 5.1 et 5.2.

Résumé

Une faille a été identifiée dans la commande diag sous AIX. Elle peut être exploitée par un utilisateur local mal intentionné pour obtenir les privilèges root.

Description

La commande diag permet à un utilisateur de diagnostiquer un problème matériel. IBM a identifié une vulnérabilité qui peut être activée pour devenir administrateur de l'hôte.

Solution

Mettre à jour le paquetage bos.rte.diag, selon la version d'AIX :

http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2003.1599.1

Gestion détaillée du document

    le 20 janvier 2004
    version initiale.