Vulnerability Bulletins |
Compromiso root en AIX mediante diag |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Compromiso Root |
Dificulty | Experto |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | UNIX |
Affected software | AIX 4.3.3, 5.1.0 , 5.2.0 |
Description |
|
El sistema operativo AIX cuenta con el comando "diag" que permite a los usuarios determinar los problemas de hardware que se han presentado. Se ha descubierto una vulnerabilidad en este comando que permitiría a un usuario local ganar privilegios de root diag es parte del conjunto de ficheros bos.rte.diag ; para determinar si están instalados en su sistema, ejecute lo siguiente: # lslpp -L bos.rte.diag Si el bos.rte.diag está instalado, se listará junto con información de su versión, estado, tipo, y una descripción. |
|
Solution |
|
Actualización de software AIX 4.3.3: parche IY37830 AIX 5.1.0: parche IY37144 AIX 5.2.0: parche IY37469 Descarga de parches para AIX Visite la siguiente dirección para descargar las actualizaciones http://www-912.ibm.com/eserver/support/fixes/fcgui.jsp |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
IBM SECURITY ADVISORY: diag command can be exploited to gain root privileges. https://techsupport.services.ibm.com/server/pseries.subscriptionSvcs?mode=7&heading=AIX433&topic=SECURITY&month=200312&label=diag+command+can+be+exploited+to+gain+root+privileges.&date=20031220&bulletin=datafile100717&embed=true |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-12-22 |