Se ha anunciado una vulnerabilidad de seguridad en Sun Grid Engine,
que puede ser empleada por atacantes locales para evitar restricciones
de seguridad.
El problema confirmado en Sun Grid Engine 5.3 y Sun N1 Grid Engine
6.0, en todas las plataformas, puede permitir a un usuario local
sin privilegios detener el servicio grid, o hacer uso de él incluso
si el acceso fue denegado. La vulnerabilidad está provocada por una
autorización y autenticación incompleta cuando se trabaja en modo
CSP (Certificate Security Protocol).
Sun ha publicado actualizaciones para N1 Grid Engine 6.0 en todas
las plataformas, Sun Grid Engine 5.3 requiere la actualización a N1
Grid Engine 6.0 antes de la instalación de los correspondientes
parches. Las actualizaciones publicadas pueden consultarse desde:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102321-1
antonior@hispasec.com
Más información:
Incomplete Authentication and Authorization in Sun Grid Engine 5.3
and N1 Grid Engine 6.0 Certificate Security Protocol (CSP) Mode
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102321-1
