Vigil@nce : Solaris, élévation de privilèges via nscd
décembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant local peut obtenir des informations sur les mots de
passe ou élever ses privilèges via nscd.
Gravité : 2/4
Conséquences : accès/droits administrateur, lecture de données
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 19/12/2008
PRODUITS CONCERNÉS
– OpenSolaris
– Sun Solaris
DESCRIPTION
Le démon nscd (Name Service Cache Daemon) permet de mettre en
cache les entrées des bases passwd, group, hosts, etc.
Le fichier /etc/nsswitch.conf indique l’origine des bases à
utiliser :
– files : fichiers locaux
– nis/nisplus : NIS
– compat (pour passwd/group) : fichier local, mais si l’entrée
contient +/- utilise NIS ou LDAP (choix selon
passwd/group_compat)
– etc.
Cependant, si le fichier /etc/nsswitch.conf contient "compat" pour
la base "passwd", la fonction try_local2() de
usr/src/cmd/nscd/nscd_switch.c retourne vrai. La base de données
"shadow" est alors associée à la mauvaise source.
Un attaquant local peut ainsi obtenir des informations stockées
dans une autre base via getspname(), ou s’authentifier s’il
connaît le mot de passe.
CARACTÉRISTIQUES
Références : 242006, 6740382, BID-32921, CVE-2008-5699,
VIGILANCE-VUL-8347