S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 janvier 2004
N° CERTA-2004-AVI-013
Affaire suivie par: CERT-FR
le 20 janvier 2004

Avis du CERT-FR

Objet: Vulnérabilité de la commande diag sous AIX

Gestion du document

Référence CERTA-2004-AVI-013
Titre Vulnérabilité de la commande diag sous AIX
Date de la première version 20 janvier 2004
Date de la dernière version 20 janvier 2004
Source(s) Avis de sécurité IBM
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges pour un utilisateur local.

Systèmes affectés

IBM AIX 4.3, 5.1 et 5.2.

Résumé

Une faille a été identifiée dans la commande diag sous AIX. Elle peut être exploitée par un utilisateur local mal intentionné pour obtenir les privilèges root.

Description

La commande diag permet à un utilisateur de diagnostiquer un problème matériel. IBM a identifié une vulnérabilité qui peut être activée pour devenir administrateur de l'hôte.

Solution

Mettre à jour le paquetage bos.rte.diag, selon la version d'AIX :

http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2003.1599.1

Gestion détaillée du document

    le 20 janvier 2004
    version initiale.