1 Risque

* Exécution de code arbitraire à distance ;
* déni de service à distance.

2 Systèmes affectés

* IBM AIX 5.2 ;
* IBM AIX 5.3 ;
* IBM AIX 6.1.

3 Résumé

Plusieurs vulnérabilités ont été découvertes dans IBM AIX et permettent à un
individu malveillant de provoquer un déni de service ou d’exécuter du code
arbitraire à distance.

4 Description

Pegasus CIM Server for Directory d’IBM AIX est un outil de gestion d’objet
fournissant des modèles communs d’information. Plusieurs vulnérabilités ont été
découvertes dans ce produit et permettent via un dépassement de mémoire tampon
de provoquer un déni de service à distance ou une exécution de code arbitraire.

5 Solution

Se référer au bulletin de sécurité IBM pour l’obtention des correctifs (cf.
section Documentation).

6 Documentation

* Bulletin de sécurité IBM du 21 février 2008 :

http://www14.software.ibm.com/webapp/set2/subscriptions/ijhifoeblist?mode=7&heading=AIX61&path=%2F200802%2FSECURITY%2F20080221%2Fdatafile112135&label=IBM+Pegasus+CIM+Server+for+Directory+on+AIX+vulnerabilities

* Référence CVE CVE-2008-0003 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0003

* Référence CVE CVE-2008-0495 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0495