S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 novembre 2000
N° CERTA-2000-AVI-069
Affaire suivie par: CERT-FR
le 06 novembre 2000

Avis du CERT-FR

Objet: Vulnérabilité sous HP UX (dtterm)

Gestion du document

Référence CERTA-2000-AVI-069
Titre Vulnérabilité sous HP UX (dtterm)
Date de la première version 06 novembre 2000
Date de la dernière version 06 novembre 2000
Source(s) HP Security bulletin
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Augmentation des privilèges utilisateur

Systèmes affectés

  • HP-UX 10.10 ;
  • HP-UX 10.24 ;
  • HP-UX 10.20 ;
  • HP-UX 11.04 ;
  • HP-UX 11.00.

Résumé

Un utilisateur mal intentionné peut, par le biais de dtterm, augmenter ses privilèges utilisateur.

Description

Dans l'environnement graphique CDE, La commande dtterm permet d'émuler un terminal sous unix.

Une vulnérabilité dans cet émulateur permet à un utilisateur d'accroître ses privilèges.

Solution

Appliquer les correctifs proposés sur le site HP :

http://europe-support.external.hp.com
  • Correctif pour HP-UX 10.10 : Non disponible ;
  • Correctif pour HP-UX 10.24 : PHSS_22546 ;
  • Correctif pour HP-UX 10.20 : PHSS_22319 ;
  • Correctif pour HP-UX 11.04 : PHSS_22548 ;
  • Correctif pour HP-UX 11.00 : PHSS_22320.

Sous 10.20 après avoir installé le correctif PHSS_22319, modifier les permissions :

chmod 555 /usr/vue/bin/dtterm

Contournement provisoire

Sous 10.10, modifier les permissions pour supprimer la vulnérabilité :

chmod 555 /usr/dt/bin/dtterm

chmod 555 /usr/vue/bin/dtterm

Documentation

Bulletin de sécurité de HP :

http://itrc.hp.com

Gestion détaillée du document

    le 06 novembre 2000
    version initiale.