martes, 22 de agosto de 2006

Elevación de privilegios a través del comando format en Solaris

Se ha confirmado la existencia de una vulnerabilidad en el comando
"format" de Solaris 8, 9 y 10 que puede permitir a un usuario la
elevación de sus privilegios en el sistema.

La vulnerabilidad reside en un desbordamiento de memoria intermedia
en el comando "format", por la que un atacante local que disponga
del privilegio "File System Management" del perfil RBAC (o cualquier
otro perfil que permita al usuario ejecutar format con los privilegios
de root) podría ejecutar código arbitrario con los privilegios de
root.

Para saber si algunos usuarios tienen ese privilegio, se pueden
ejecutar los comandos:

grep 'File System Management' /etc/user_attr
profiles testuser | grep 'File System Management'
grep format /etc/security/exec_attr

Según versión y plataforma, los parches para solventar el problema
son:

Para la plataforma SPARC:
Solaris 8 aplicar el parche 108975-10 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108975-10-1
Solaris 9 aplicar el parche 113072-08 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113072-08-1
Solaris 10 aplicar el parche 118833-18 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118833-18-1

Para la plataforma x86
Solaris 8 aplicar el parche 108976-10 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108976-10-1
Solaris 9 aplicar el parche 114423-07 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114423-07-1
Solaris 10 aplicar el parche 118997-09 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118997-09-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability Due to Buffer Overflow in The format(1M)
Command May Allow Privilege Elevation For Certain RBAC Profiles
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102519-1&searchclause=