Boletines de Vulnerabilidades |
Bug de formato en las aplicaciones mkdev, rmdev y chdev de IBM AIX |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Compromiso Root |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | UNIX |
Software afectado |
AIX 5.1 AIX 5.2 AIX 5.3 |
Descripción |
|
Se ha descubierto un bug de formato en chdev, un programa setuid root instalado por defecto en múltiples versiones de IBM AIX que se usa para cambiar las características de los dispositivos. La vulnerabilidad también está presente en las aplicaciones rmdev y mkdev. La explotación de esta vulnerabilidad podría permitir a un atacante local que pertenezca al grupo "system" obtener privilegios de root. |
|
Solución |
|
Actualización de software IBM AIX 5.1 - APAR IY67741 AIX 5.2 - APAR IY67455 AIX 5.3 - APAR IY67654 http://www-1.ibm.com/servers/eserver/support/pseries/aixfixes.html Efix ftp://aix.software.ibm.com/aix/efixes/security/dev_efix.tar.Z |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2005-0240 |
BID | |
Recursos adicionales |
|
iDEFENSE Security Advisory 02.07.05 ID 192 http://www.idefense.com/application/poi/display?id=192&type=vulnerabilities IBM Security Advisory https://techsupport.services.ibm.com/server/pseries.subscriptionSvcs?mode=7&heading=AIX53&topic=SECURITY&month=200502&bulletin=datafile155533&date=20050207&label=Format+string+vulnerability+in+chdev |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-02-08 |
1.1 | Aviso actualizado por IBM | 2005-02-21 |
1.2 | CAN añadido | 2005-02-23 |
1.3 | Aviso actualizado por IBM | 2005-05-20 |