Vigil@nce : Sun Solaris, accès distant non autorisé vers Administrative Zone
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut avoir accès à la zone globale (Administrative
Zone) sans être authentifié.
Gravité : 1/4
Conséquences : accès/droits privilégié
Provenance : compte utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 11/08/2008
Référence : VIGILANCE-VUL-8007
PRODUITS CONCERNÉS
– OpenSolaris [versions confidentielles]
– Sun Solaris [versions confidentielles]
DESCRIPTION
Solaris peut utiliser l’outil "Trusted extensions", c’est un
logiciel qui permet d’ajouter une couche au sein de l’OS, afin
d’avoir un système d’exploitation multicouche avec des niveaux de
sécurité différents (Label).
L’applicatif a le défaut d’autoriser les utilisateurs distants de
même niveau de sécurité (label), à se connecter sans
authentification.
Un attaquant peut donc avoir accès à la zone globale
(Administrative Zone) sans être authentifié.
CARACTÉRISTIQUES
Références : 240099, 6510153, VIGILANCE-VUL-8007