Risque

Divulgation de données.

Systèmes affectés

Toutes les versions d'Irix, jusqu'a la 6.5.16 incluse, fournissant le service BDSPro 2.4 sont vulnérables.

Résumé

Sous certaines conditions, le service BDS fournit un accès en lecture à tous les fichiers présents sur le serveur.

Description

BDSPro est une extension de NFS qui permet d'accélérer considérablement les transferts de fichiers volumineux sur le réseau en exploitant les dernières technologies réseau et système de fichiers.

Une vulnérabilité de BDSPro permet à un utilisateur mal intentionné d'avoir un accès distant, en lecture seule, à tous les fichiers du système visé.

Pour savoir si BDSPro est installé sur votre système, exécutez la commande suivante :

versions bds.eoe.server

Le résultat indique la présence ou non de BDSPro sur votre système.

Contournement provisoire

Appliquez le correctif ou déinstallez BDSPro.

Solution

Appliquer le correctif #4713 disponible en téléchargement sur le site de SGI (Consultez la section Documentation).

Mettre à jour le service BDSPro vers la version 2.5 dès qu'elle sera disponible.

Documentation

Information sur la sécurité des produits SGI :

http://www.sgi.com/support/security/

Bulletin de sécurité #20020804-01-P de SGI :

ftp://patches.sgi.com/support/free/security/advisories/20020804-01-P