S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 août 2000
N° CERTA-2000-AVI-031
Affaire suivie par: CERT-FR
le 17 août 2000

Avis du CERT-FR

Objet: Faille dans la commande newgrp sous HP-UX

Gestion du document

Référence CERTA-2000-AVI-031
Titre Faille dans la commande newgrp sous HP-UX
Date de la première version 17 août 2000
Date de la dernière version 17 août 2000
Source(s) Avis de sécurité HPSBUX0008-118 du 9/08/2000
Avis CERT-IST
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Attibution à un utilisateur local de privilèges supplémentaires.

Systèmes affectés

Système d'exploitation HP-UX 11.0 sur stations HP 9000 séries 700/800.

Résumé

Un précedant correctif fourni par HP (patch PHCO_22021) a introduit une vulnérabilité dans la commande newgrp. Cette commande permet à un utilisateur de changer son groupe courant pour peu qu'il en fasse partie.

Solution

  • désinstaller le correctif initial PHCO_22021,
  • installer le nouveau correctif PHCO_22096.
Les correctifs sont disponibles sur le site 
http://europe-support.external.hp.com
en activant le lien ``Search Technical Knowledge Base'' et ens'identifiant (inscription gratuite).

Documentation

Avis de sécurité HPSBUX0008-118 du 9/08/2000

http://europe-support.external.hp.com
toujours en suivant le lien ``Search Technical KnowledgeBase'' .

Gestion détaillée du document

    le 17 août 2000
    version initiale.