Vigil@nce : HP-UX, accès distant via NFS
août 2008 par Marc Jacob
SYNTHÈSE
Un administrateur configurant le service NFS via SAM, peut laisser
les listes d’accès vides, ce qui est interprété comme un accès
ouvert.
Gravité : 2/4
Conséquences : lecture de données, création/modification de
données, effacement de données
Provenance : client intranet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 31/07/2008
Référence : VIGILANCE-VUL-7980
PRODUITS CONCERNÉS
– Hewlett-Packard HP-UX [versions confidentielles]
DESCRIPTION
Le système d’administration SAM permet notamment de configurer un
service NFS.
L’interface de SAM affiche par défaut une liste d’accès vide, qui
semble n’autoriser aucun utilisateur. Or les droits en lecture et
écriture sont attribués.
Un administrateur configurant le service NFS via SAM laissant les
listes d’accès vides, peut donc donner l’accès aux utilisateurs se
connectant à NFS.
CARACTÉRISTIQUES
Références : c01367453, CVE-2008-1662, HPSBUX02286, SSRT071466, VIGILANCE-VUL-7980