S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 mai 2004
N° CERTA-2004-AVI-175
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la bibliothèque libcpr sous Irix

Gestion du document

Référence CERTA-2004-AVI-175
Titre Vulnérabilité dans la bibliothèque libcpr sous Irix
Date de la première version27 mai 2004
Date de la dernière version27 mai 2004
Source(s) Avis de sécurité SGI
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

SGI Irix versions antérieures à la version 6.5.25.

Résumé

Une vulnérabilité présente dans la bibliothèque libcpr permet à un utilisateur local mal intentionné d'obtenir les privilèges du super-utilisateur root.

Description

/usr/sbin/cpr est une commande livrée avec le paquetage eoe.sw.cpr (IRIX Checkpoint and Restart) installé par défaut sur les systèmes IRIX 6.5.x.

Une vulnérabilité sur la bibliothèque libcpr permet à un utilisateur non privilègié de redémarrer un processus. Cette vulnérabilité permet à un utilisateur mal intentionné d'obtenir les privilèges du super-utilisateur root.

Solution

Appliquer les correctifs ou mettre à jour votre système avec la version d'Irix 6.5.25 (cf. section documentation).

Documentation

Gestion détaillée du document

    le 27 mai 2004
    version initiale.