S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 23 décembre 2005 No CERTA-2005-AVI-505

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans HP-UX

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Déni de service à distance ;
• contournement de la politique de sécurité ;
• atteinte à la confidentialité des données.

2 Systèmes affectés

HP-UX 11.x.

3 Résumé

Trois vulnérabilités dans HP-UX permettent à un utilisateur mal intentionné de contourner la politique de sécurité et/ou de réaliser un déni de service à distance.

4 Description

• Une vulnérabilité dans HP-UX permet à un utilisateur distant mal intentionné de contourner la politique de sécurité afin de se connecter de manière illégitime au server et de porter atteinte à la confidentialité des données présentes sur un système mettant en œuvre l'application Software Distributor ;
• deux vulnérabilités dans HP-UX, localisées dans le service WBEM et dans le traitement de certains paquets TCP/IP, peuvent être exploitées par un individu mal intentionné afin de réaliser un déni de service à distance.

5 Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité HP c00583199 du 20 décembre 2005 :

  http://itrc.hp.com/service/cki/docDisplay.do?docId=c00583199
  

• Bulletin de sécurité HP c00582373 du 19 décembre 2005 :

  http://itrc.hp.com/service/cki/docDisplay.do?docId=c00582373
  

• Bulletin de sécurité HP c00579189 du 15 décembre 2005 :

  http://itrc.hp.com/service/cki/docDisplay.do?docId=c00579189
  

• Référence CVE CAN-2004-0744 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0744
  

Gestion détaillée du document

23 décembre 2005

version initiale.