Vigil@nce : HP-UX, élévation de privilèges via RBAC
septembre 2009 par Vigil@nce
Un attaquant local peut employer une vulnérabilité des Role-Based
Access Control sous HP-UX, afin d’élever ses privilèges.
– Gravité : 2/4
– Conséquences : accès/droits administrateur, accès/droits privilégié
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 22/09/2009
PRODUITS CONCERNÉS
– HP-UX
DESCRIPTION DE LA VULNÉRABILITÉ
Lorsque les RBAC (Role-Based Access Control) sont actifs, le
fichier /etc/rbac/cmd_priv détermine si un utilisateur est
autorisé à éditer un fichier avec la commande privedit.
Cependant, un attaquant local peut employer cette commande pour
élever ses privilèges.
Les détails techniques ne sont pas connus.
CARACTÉRISTIQUES
– Références : BID-36476, c01866178, CVE-2009-2682, HPSBUX02457,
– SSRT090174, VIGILANCE-VUL-9037
Url : http://vigilance.fr/vulnerabilite/HP-UX-elevation-de-privileges-via-RBAC-9037