int(2773)

Boletines de Vulnerabilidades

Desbordamiento de búfer en dtmail para HP-UX y HP Tru64

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Avanzado
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema
Propiedad Valor
Fabricant afectat UNIX
Software afectado dtmail

Descripción
Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en dtmail sobre HP-UX y HP Tru64. La vulnerabilidad reside en un error al manejar la opción "-a".

Un atacante local podría ejecutar código arbitrario como un usuario miembro del grupo 'mail'.

Solución


Actualización de software

Hewlett-Packard (HP-UX)
HP-UX 11.00 / PHSS_35433
HP-UX 11.11 / PHSS_35434
HP-UX 11.23 / PHSS_35435
http://itrc.hp.com/

Hewlett-Packard (HP Tru64)
HP Tru64 UNIX Version 5.1B-3 ERP Kit
http://www2.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1000912-V51BB26-ES-20060928
HP Tru64 UNIX Version 5.1B-2/PK4 ERP Kit
http://www2.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1000908-V51BB25-ES-20060928
HP Tru64 UNIX Version 5.1A PK6 ERP Kit
http://www2.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1000916-V51AB24-ES-20060929
HP Tru64 UNIX Version 4.0G PK4 ERP Kit
http://www2.itrc.hp.com/service/patch/patchDetail.do?patchid=T64KIT1000911-V40GB22-ES-20060928
HP Tru64 UNIX Version 4.0F PK8 ERP Kit
http://www2.itrc.hp.com/service/patch/patchDetail.do?patchid=DUXKIT1000913-V40FB22-ES-20060928

Identificadores estándar
Propiedad Valor
CVE CVE-2006-5452
BID

Recursos adicionales
HP SECURITY BULLETIN (HPSBUX02162)
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00793091

HP SECURITY BULLETIN (HPSBTU02163)
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00793805

NETRAGARD-20060810
http://www.netragard.com/pdfs/research/HP-TRU64-DTMAIL-20060810.txt

Histórico de versiones
Versión Comentario Data
1.0 Aviso emitido 2006-10-23
Ministerio de Defensa
CNI
CCN
CCN-CERT