S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 01 décembre
2008
No CERTA-2008-AVI-570 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans IBM AIX
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-570 |
| Titre |
Multiples
vulnérabilités dans IBM AIX |
| Date de la première
version |
01 décembre 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité IBM AIX du 26 novembre
2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Élévation de privilèges.
IBM AIX 6.1.x.
Plusieurs vulnérabilités dans IBM AIX
permettent à une personne malintentionnée
d'élever ses privilèges sur le
système.
Plusieurs vulnérabilités, permettant à
une personne malintentionnée d'élever ses
privilèges, ont été découvertes
dans IBM AIX :
- un dépassement de mémoire tampon est
possible dans le programme privilégié ndp lorsque le service netcd est démarré ;
- si RBAC (Role Based Access Control) est utilisé
et que l'utilisateur dispose de la permission aix.network.config.tcpip, un
dépassement de mémoire débouchant sur
une élevation de privilèges est possible via la
commande autoconf6 ;
- la suppression de n'importe quel fichier sur le
système est possible via la commande enq si une file d'attente d'impression est
définie dans /etc/qconfig
;
- la commande crontab permet
à un utilisateur disposant du droit aix.system.config.cron d'élever ses
privilèges pour l'édition de certains
fichiers.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 01 décembre 2008
- version initiale.
CERTA
2012-01-04
|
)
