S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 mai 2004
N° CERTA-2004-AVI-175
Affaire suivie par: CERT-FR
le 27 mai 2004

Avis du CERT-FR

Objet: Vulnérabilité dans la bibliothèque libcpr sous Irix

Gestion du document

Référence CERTA-2004-AVI-175
Titre Vulnérabilité dans la bibliothèque libcpr sous Irix
Date de la première version 27 mai 2004
Date de la dernière version 27 mai 2004
Source(s) Avis de sécurité SGI
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

SGI Irix versions antérieures à la version 6.5.25.

Résumé

Une vulnérabilité présente dans la bibliothèque libcpr permet à un utilisateur local mal intentionné d'obtenir les privilèges du super-utilisateur root.

Description

/usr/sbin/cpr est une commande livrée avec le paquetage eoe.sw.cpr (IRIX Checkpoint and Restart) installé par défaut sur les systèmes IRIX 6.5.x.

Une vulnérabilité sur la bibliothèque libcpr permet à un utilisateur non privilègié de redémarrer un processus. Cette vulnérabilité permet à un utilisateur mal intentionné d'obtenir les privilèges du super-utilisateur root.

Solution

Appliquer les correctifs ou mettre à jour votre système avec la version d'Irix 6.5.25 (cf. section documentation).

Documentation

Gestion détaillée du document

    le 27 mai 2004
    version initiale.