SYNTHÈSE

Un attaquant local peut obtenir des informations sur les mots de
passe ou élever ses privilèges via nscd.

Gravité : 2/4

Conséquences : accès/droits administrateur, lecture de données

Provenance : shell utilisateur

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 19/12/2008

PRODUITS CONCERNÉS

– OpenSolaris
– Sun Solaris

DESCRIPTION

Le démon nscd (Name Service Cache Daemon) permet de mettre en
cache les entrées des bases passwd, group, hosts, etc.

Le fichier /etc/nsswitch.conf indique l’origine des bases à
utiliser :
– files : fichiers locaux
– nis/nisplus : NIS
– compat (pour passwd/group) : fichier local, mais si l’entrée
contient +/- utilise NIS ou LDAP (choix selon
passwd/group_compat)
– etc.

Cependant, si le fichier /etc/nsswitch.conf contient "compat" pour
la base "passwd", la fonction try_local2() de
usr/src/cmd/nscd/nscd_switch.c retourne vrai. La base de données
"shadow" est alors associée à la mauvaise source.

Un attaquant local peut ainsi obtenir des informations stockées
dans une autre base via getspname(), ou s’authentifier s’il
connaît le mot de passe.

CARACTÉRISTIQUES

Références : 242006, 6740382, BID-32921, CVE-2008-5699,
VIGILANCE-VUL-8347

http://vigilance.fr/vulnerabilite/8347