jueves, 12 de febrero de 2009

Revelación de información local a través de 'at' en IBM AIX 5.x y 6.x

Se ha encontrado una vulnerabilidad en IBM AIX 5.x y 6.x que podría ser explotada por un atacante local para acceder a información sensible.

La vulnerabilidad está causada por un fallo en el comando 'at' (/usr/bin/at) ya que no limita los privilegios al leer ciertos archivos (tiene los permisos de root). Esto podría ser aprovechado por un atacante local para leer cualquier archivo.

Se ha confirmado la vulnerabilidad para AIX 5.2.x, 5.3.x y 6.1.x. Según versión y plataforma, se recomienda aplicar los siguientes parches, disponibles para su descarga desde:
http://aix.software.ibm.com/aix/efixes/security/at_fix.tar
ftp://aix.software.ibm.com/aix/efixes/security/at_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558

No hay comentarios:

Publicar un comentario en la entrada