1 Risque

* Exécution de code arbitraire à distance ;
* atteinte à l’intégrité des données ;
* contournement de la politique de sécurité.

2 Systèmes affectés

* IBM AIX 5.2 ;
* IBM AIX 5.3.

3 Résumé

De multiples vulnérabilités dans IBM AIX permettent à une personne malveillante
d’exécuter du code arbitraire à distance, de porter atteinte à l’intégrité des
données et de contourner la politique de sécurité.

4 Description

De multiples vulnérabilités ont été identifiées dans IBM AIX :

* Des vulnérabilités permettent à un individu malveillant l’exécution locale
ou à distance de code arbitraire avec des privilèges d’administration ;
* une vulnérabilité permet une atteinte à l’intégrité des données et un
contournement de la politique de sécurité.

5 Contournement provisoire

Des correctifs temporaires ont été mis à disposition par IBM pour certaines des
vulnérabilités. Ces correctifs peuvent parfois avoir certains effets de bord,
il est recommandé de les tester avant un déploiement sur des systèmes en
production.

6 Solution

Se référer au bulletin de sécurité de IBM pour l’obtention des correctifs (cf.
section Documentation).

7 Documentation

* Bulletin de sécurité IBM IZ05065 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05065

* Bulletin de sécurité IBM IZ05066 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05066

* Bulletin de sécurité IBM IZ03055 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ03055

* Bulletin de sécurité IBM IZ03061 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ03061

* Bulletin de sécurité IBM IZ04832 du 18 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ0432

* Bulletin de sécurité IBM IZ05017 du 29 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05017

* Bulletin de sécurité IBM IZ05487 du 24 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05487

* Bulletin de sécurité IBM IZ05488 du 24 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05488

* Bulletin de sécurité IBM IZ05877 du 18 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05877

* Bulletin de sécurité IBM IZ05971 du 18 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05971

* Bulletin de sécurité IBM IZ05349 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05349

* Bulletin de sécurité IBM IZ05129 du 25 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ05129

* Bulletin de sécurité IBM IZ03054 du 29 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ03054

* Bulletin de sécurité IBM IZ03060 du 29 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ03060

* Bulletin de sécurité IBM IZ06648 du 29 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ06648

* Bulletin de sécurité IBM IZ06001 du 29 octobre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=isg1IZ06001

* Référence CVE CVE-2007-4621 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4621

* Référence CVE CVE-2007-4622 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4622

* Référence CVE CVE-2007-4568 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4568

* Référence CVE CVE-2007-4990 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4990