Risque

  • Élévation de privilèges

Systèmes affectés

IBM AIX 5.3 et versions antérieures.

Description

Une vulnérabilité de type chaine de format dans l'application auditselect permet à un utilisateur local mal intentionné qui fait partie groupe audit afin d'exécuter du code arbitraire avec les privilèges du compte root.

Contournement provisoire

  • Autoriser uniquement les personnes de confiance à accéder aux systèmes critiques ;
  • restreindre le groupe audit aux adminsitrateurs systèmes ;
  • retirer de l'application auditselect le drapeau setuid.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation