Vigil@nce : OpenSolaris, non audit de hald
janvier 2010 par Vigil@nce
Lorsque Solaris Auditing est activé, le démon hald ne journalise
pas ses évènements.
– Gravité : 1/4
– Conséquences : camouflage
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 07/01/2010
PRODUITS CONCERNÉS
– OpenSolaris
DESCRIPTION DE LA VULNÉRABILITÉ
Le démon hald (Hardware Abstraction Layer) est utilisé pour
détecter et gérer les périphériques matériels disponibles.
Lorsque Solaris Auditing est activé, le démon hald devrait
journaliser ses évènements. Cependant, il ne possède pas le
privilège "proc_audit", et ne peut donc pas journaliser.
Un attaquant local peut par exemple ajouter un matériel, sans que
cette action ne soit découverte par l’administrateur.
CARACTÉRISTIQUES
– Références : 274830, 6905945, BID-37656, VIGILANCE-VUL-9328
– Url : http://vigilance.fr/vulnerabilite/OpenSolaris-non-audit-de-hald-9328